Sicurezza del browser - Firefox + NoScript è meglio di Google Chrome?

5

Ho visto che la combinazione NoScript + Firefox blocca tutti i "contenuti dinamici" (in particolare gli annunci di spam). Mi piace davvero. Riduce le possibilità di essere sfruttato.

Tuttavia, chrome mi chiede solo di consentire il flash e alcuni altri plug-in per alcuni siti. Sembra che FF + NS sia molto meglio di chrome.

È davvero così?

    
posta FirstName LastName 13.01.2013 - 05:35
fonte

3 risposte

6

Per cominciare, Chrome offre funzioni di sicurezza migliori e una più ampia sicurezza effort di Firefox.

È vero che JavaScript può essere coinvolto nei kit di exploit e exploit utilizzare JS per nascondere gli exploit e profilare il browser per sfruttamento. Tuttavia, la disattivazione di JS non dovrebbe essere considerata una pallottola d'argento per la sicurezza del browser.

Oltre al semplice blocco di JS, NoScript offre alle funzionalità di sicurezza di Firefox già presenti in Chrome, come la protezione XSS . E le funzionalità che manca a Chrome, come la protezione di Clickjacking e la protezione contro gli attacchi basati su plugin . Prendi in considerazione che NoScript aumenterà anche la superficie di attacco .

Non c'è un chiaro vincitore qui considerando che la sicurezza di Firefox + NoScript dipende dall'utente che configura NoScript e dal compromesso dell'usabilità.

Per ulteriori informazioni sulla sicurezza del browser, leggi il Manuale sulla sicurezza del browser di Michal Zalewski. Il suo libro, The Tangled Web: una guida alla protezione delle moderne applicazioni Web estende questo manuale.

    
risposta data 13.01.2013 - 16:10
fonte
2

Non conosco le specifiche, ma Chrome ha una lunghezza notevole per sandbox JavaScript e per isolare un sito dagli altri. Questo è unico tra i browser AFAIK, rendendo molto difficile sfruttare qualsiasi vulnerabilità rilevata in esso (che comunque esiste). Vedi questa domanda per maggiori informazioni. Chrome è anche uno dei pochi che supporta già iframe sandboxing , che dovrebbe aiutare rendere i siti che incorporano i contenuti di terze parti sono molto più sicuri (anche se non so quanto spesso è usato in pratica, un esempio ben noto sono le app di Facebook).

Ciò che è notevole in NoScript, tuttavia, è che consente di selettivamente abilitare / disabilitare JavaScript e altri contenuti dinamici per dominio. Questa è anche una caratteristica unica di AFAIK, poiché la maggior parte dei browser ti consente di disabilitare gli tutti script in una pagina, o di abilitarli tutti, senza supporto di medio livello. Ciò consente, ad esempio, di attivare solo gli script necessari per accedere ai contenuti desiderati, ma lasciare tutto il resto disabilitato (in particolare gli script degli annunci da fonti molto diverse che sono solitamente presenti in una determinata pagina) e che rappresentano una buona percentuale dei rischi per la sicurezza).

Questo rende difficile determinare "qual è il migliore". Il mio istinto è che Chrome protegge meglio il tuo computer , mentre NoScript è più adatto a proteggere i dati che inserisci nei diversi siti. Dal momento che non ci si può ragionevolmente aspettare che ogni sito abbia una protezione XSS decente e che sia tenuto aggiornato con i più recenti vettori di attacco scoperti, riducendo al minimo la quantità di codice non sicuro che viene eseguito nello stesso contesto di pagina (qualcosa che La sandbox di Chrome non può fare nulla). Anche le probabilità che i dati privati vengano trasmessi da un dominio a un altro sono diminuite.

Ci sono piani per port NoScript su Chrome , che credo sarebbe ideale , ma sfortunatamente è stato trattenuto dalla mancanza di supporto all'accesso sincrono alle risorse della pagina da parte delle singole estensioni. Ciò significa che non si può controllare uno script prima è già eseguito, rendendo molte delle caratteristiche di NoScript alternative irrealizzabili (e anche significato come NotScripts non raggiungerà mai un livello di sicurezza simile).

    
risposta data 13.01.2013 - 13:29
fonte
0

La stessa protezione di NoScript in Firefox è disponibile come "ScriptNo" su Google.

Avrei fornito un link, ma attualmente sto utilizzando Firefox e Google mi impedisce di accedere al portale in cui risiede senza Chrome.

Cambio i miei browser e utilizzo il più aggiornato disponibile per tutto il tempo, passando da Firefox a Chrome.

    
risposta data 13.01.2013 - 22:45
fonte

Leggi altre domande sui tag