NoScript: come determinare quali siti / script includere nella whitelist?

Naviga le tue risposte
27

NoScript è un ottimo plug-in, sia per la sicurezza che per il blocco degli annunci. Tuttavia, ho scoperto che non è sempre facile capire quali script devono essere consentiti su determinate pagine, per essere in grado di utilizzare le funzionalità che desidero pur bloccando gli script non necessari. Molte volte, non è semplicemente sufficiente attivare gli script per il dominio del sito che stai visitando.

Ad esempio, per utilizzare StackExchange al massimo è stato necessario abilitare gli script per:

  • stackexchange.com
  • googleapis.com
  • sstatic.net

In passato, in generale ho capito questo solo attraverso tentativi ed errori. Tuttavia, questo non è assolutamente il modo in cui dovrebbe essere fatto. Mi lascia vulnerabile a eseguire ancora script dannosi o pubblicitari durante la fase di prova ed errore, che potrebbe portare a danni irreparabili.

Il più delle volte, questo problema si verifica quando voglio utilizzare una determinata funzione su un sito Web, ma lo script è ospitato da un dominio diverso. Di solito inizio attivando i "soliti sospetti" come domain.tld, domaincdn.tld, domain-images.tld. Tuttavia, questo non sempre funziona. E, a parte questo, non c'è davvero un modo intuitivo (a corto di eseguire una query WHOIS, e fidandomi di quei risultati) per me essere certo che domain-images.tld sia posseduto e controllato dalle stesse persone che eseguono domain.tld, o che i suoi script offrono effettivamente qualsiasi funzionalità che voglio.

Esiste un plug-in aggiuntivo o un altro metodo che può essere utilizzato per capire quali domini / script devono essere elencati in bianco per consentirmi di utilizzare determinate funzionalità di un sito Web? Preferibilmente, il metodo non dovrebbe richiedere la conoscenza di alcun linguaggio di scripting o richiedere all'utente di interpretare il codice sorgente dei siti.

Il mio concetto di soluzione "ideale" sarebbe un plug-in che mi consente di fare clic con il pulsante destro del mouse su qualsiasi elemento della pagina interattiva (pulsante, collegamento ipertestuale, oggetto flash, ecc.) e visualizzare un elenco di siti che ospitano gli script richiesti per quell'elemento svolgere la sua funzione. Dovrebbe anche consentirmi di fare clic con il pulsante destro del mouse su un punto vuoto nella pagina e vedere quali script host dei domini influenzano il layout e la formattazione della pagina.

This question was IT Security Question of the Week.
Read the Sep 02, 2011 blog entry for more details or submit your own Question of the Week.

    
posta Iszi 02.07.2011 - 18:39
fonte

3 risposte

9

Potresti installare un plugin per l'advisor del sito come ad esempio l'advisor del sito di McAfee . In questo modo è possibile cercare più facilmente il dominio per eventuali malintenzionati segnalati.

Ad esempio, cerco un dominio su cui un grande giornale riceve i loro commenti. Ricevo rapporto che dice generalmente OK, ma i resoconti della comunità dicono "Adware, spyware o virus (1)".

Sono sicuro che esistono altri plugin, e forse anche migliori, per la ricerca di un dominio per la loro valutazione.

EDIT : vorrei aggiungere questo snippet che ho trovato da Domande frequenti su NoScript :

Starting with version 1.9.9.61, NoScript offers a "Site Info" page which can help you to assess the trustworthyness of the web sites shown in your NoScript menu. You can access this service by middle-clicking or shift-clicking the relevant menu item. If you're more on the technical side and you want to examine the JavaScript source code before allowing, you can help yourself with JSView.

Quindi, se sei curioso di fidarti o meno di un semplice clic sul dominio, interrogherà i seguenti siti per informazioni:

  • WOT Scorecard
  • McAfee SiteAdvisor®
  • Suggerimenti per i webmaster Informazioni sul sito
  • Safe Browsing Diagnostic su google-analytics.com
risposta data 03.07.2011 - 22:53
fonte
5

[Divulgazione: sono il co-fondatore dell'azienda il cui prodotto è discusso in questa risposta.]

In the past, I've generally just figured this out through trial and error. However, that is most definitely not the way it should be done. It leaves me vulnerable to still possibly running malicious or advertising scripts during that trial and error phase, which could lead to irrecoverable damage.

Questo è il problema con i prodotti di sicurezza basati su white list. Non puoi davvero essere sicuro di ogni articolo che aggiungi alla lista. Devi solo provarlo e sperare per il meglio. Anche se si autorizza la creazione di un dominio, è possibile aggiungere nuovi script a tale dominio oppure è possibile modificare quelli esistenti. Per essere completamente sicuro, è necessario analizzare ogni script prima dell'esecuzione per cercare attività dannose. Non credo sia possibile avere un programma di analisi di script generico in grado di esaminare ogni script e determinare se è sicuro o meno.

Is there an additional plug-in or other method which can be used for me to figure out which domains/scripts need to be whitelisted for me to use certain features of a website? Preferably, the method should not require knowledge of any scripting languages or require the user to interpret the sites' source code.

Sebbene non sia esattamente quello che stai chiedendo, la mia azienda ha creato un plugin di sicurezza simile che risolve il tuo problema, ma in un modo diverso. Eseguiamo tutti gli script necessari per una pagina, ma li eseguiamo su un server cloud usa e getta. Ciò comporta che l'utente ottenga la piena funzionalità di un sito Web, senza dover autorizzare alcun script e senza dover eseguire script sul proprio computer locale. Ciò evita all'utente di conoscere i linguaggi di scripting o di richiedere loro di interpretare il codice sorgente dei siti. In sostanza, non importa se gli script sono buoni o cattivi, perché eseguendoli sui nostri server non possono influenzare il tuo computer.

Se sei interessato, puoi saperne di più su sul nostro sito web .

    
risposta data 09.07.2011 - 21:30
fonte
2

Sospetto che la risposta "giusta" sarebbe che ci fosse un'estensione dell'HTML in cui il sito stesso dichiarava quali domini erano sotto il suo controllo diretto e quali erano script di terze parti (es. Stack Exchange dichiarerebbe stackexchange.com, sstatic.net come sotto controllo diretto, googleapis.com come sito di terze parti essenziale e altri come siti pubblicitari).

Potrebbe sembrare strano - dopotutto, l'intero punto di NoScript è che non ti fidi del sito in primo luogo - ma quando stai permettendo script dal sito stesso, hai deciso di fidarti (per esempio ) Stack Exchange e vuoi semplicemente designare tutti i domini di cui si fida.

Ovviamente, un sito potrebbe mentire ed elencare tutti i siti degli annunci trattati come parte della sua struttura interna, ma l'interfaccia utente di NoScript dovrebbe farti sapere cosa stavi facendo.

Attenzione, proporre estensioni per HTML non è esattamente una soluzione pratica al tuo problema!

    
risposta data 04.07.2011 - 18:25
fonte

Leggi altre domande sui tag

Esistono vulnerabilità note nelle VPN PPTP se configurate correttamente? Qual è lo scopo del controllo redirect_uri di OAuth 2.0?