Ci sono dei componenti aggiuntivi che disabilitano solo alcune funzionalità degli script?

4

Tor viene fornito in bundle con NoScript. Correggetemi se ho torto ma è perché gli script lato client possono determinare l'indirizzo IP di origine indipendentemente da chi viene passato il traffico. Ma NoScript sembra oltre l'uccisione. C'è un sacco di usi legittimi e non minacciosi per JavaScript e simili. Odio davvero questa nozione di white list, non ti puoi fidare di un sito web ma vuoi comunque che funzioni.

Esiste un modo per bloccare solo parti degli script lato client che determinano l'indirizzo IP o la posizione (ecc.)? Se non sono abbastanza sorpreso, sembrerebbe facile poichè tutto ciò che si dovrebbe fare è eliminare le chiamate alle funzioni dei linguaggi di scripting per ottenere le informazioni IP.

In alternativa ci sono liste bianche pubbliche per NoScript?

    
posta Celeritas 07.07.2012 - 02:18
fonte

3 risposte

3

In realtà, NoScript fornisce opzioni per il listato bianco e il comportamento dei plug-in nelle preferenze del client.

Se fai clic sull'icona NoScript nella barra degli strumenti del browser, dovresti vedere un link del menu a discesa intitolato "options". Selezionando questo si aprirà il pannello delle preferenze di NoScript e da lì è possibile configurare praticamente tutti gli aspetti del comportamento di NoScript. Infatti, NoScript offre anche una scheda chiamata "WhiteList" con molti siti comuni inclusi nella distribuzione predefinita, come "google.com", "msn.com", ecc. Quindi, dovresti essere in grado di ottenere il risultato desiderato da all'interno delle impostazioni del plugin. Il mio test è stato eseguito all'interno di FireFox (incluso nel pacchetto del browser TOR), ma le stesse funzionalità esistono anche nella versione di Chrome del plug-in.

Per quanto riguarda una versione più rilassata di NoScript, puoi provare Web of Trust . Funziona come una lista nera gestita dalla comunità.

Ora, alla domanda più ampia. Innanzitutto, NoScript può bloccare molto più di JavaScript e molte persone lo utilizzano come whitelist per mitigare tutti i più comuni vettori di minacce lato client, inclusi JavaScript, Flash, Silverlight, applet Java, ecc. Dal punto di vista dell'anonimato , tutti questi strumenti potrebbero probabilmente essere utilizzati per aiutarti a identificarti se il sito web a cui ti stai connettendo era specificamente rivolto agli utenti di TOR. Inoltre, il codice JavaScript può essere offuscato per renderlo più difficile da identificare con un semplice programma di analisi del testo.

Quindi, come precauzione di sicurezza generale, NoScript può aggiungere molto valore. Se le impostazioni predefinite sono troppo paranoiche per te, il mio suggerimento sarebbe di configurare le preferenze dell'elenco bianco di NoScript per consentire JavaScript e, eventualmente, di estrapolare il contenuto da fonti attendibili mentre navighi privatamente con TOR. Questo potrebbe richiedere un po 'di tempo per la configurazione, ma dopo aver inserito nella tua whitelist i siti più comuni, non dovrebbe essere troppo complicato da mantenere. Come notato da @Curiousguy di seguito, è possibile ridurre ulteriormente il rischio di attacchi MITM solo dai siti HTTPS con white listing per sfruttare l'infrastruttura PKI.

    
risposta data 07.07.2012 - 04:23
fonte
0

No, non esiste un modo semplice per bloccare solo quegli script che potrebbero rivelare il tuo indirizzo IP o la tua posizione.

Il problema è che è molto difficile guardare uno script e dire cosa farà, ad es. se potrebbe violare l'anonimato. Ci sono molti modi per offuscare ciò che farà il Javascript. Inoltre, molti siti usano strumenti per "minimizzare" il loro Javascript che può far sembrare semi-offuscati, quindi non puoi semplicemente bloccare tutto lo script che sembra essere offuscato.

Quindi, continuare a usare NoScript, come si trova nel pacchetto Tor, è probabilmente la mossa pragmatica giusta.

    
risposta data 08.07.2012 - 02:46
fonte
-1

Tor comes bundled with NoScript. Correct me if I'm wrong but that's because client sided scripts can determine the originating IP address regardless of who the traffic is passed through.

Risposta breve:

Ti sbagli.

Assumendo alcun exploit del browser, JS non può determinare il tuo indirizzo IP. Ogni richiesta HTTP in uscita effettuata con JS verrà inoltrata come altre richieste HTTP effettuate dal browser.

Risposta lunga:

NoScript è un componente aggiuntivo molto utile per la sicurezza e la privacy; l'interruttore on / off a grana fine per JavaScript è solo una delle tante cose che può fare:

  • blocca il contenuto incorporato: Java, Flash, Silverlight ...
  • blocca la maggior parte XSS riflesso (ma i webmaster devono correggere i loro siti, indipendentemente da cosa)
  • definire definiti dall'utente globale e set di regole per tutto il sito per richieste GET e POST accettabili su più siti, con possibile "anonimizzazione" di tali richieste (in particolare non l'invio di cookie HTTP) "ABE"
  • impedisce al sito Web di collegarsi agli indirizzi IP "locali" (localhost, RFC 1918 ...)
  • blocca pericolose interazioni dell'utente con frame nascosti cross-site nascosti ("clickjacking", ovvero "attacco UI di correzione")
  • applica HTTPS solo sui domini elencati (non flessibile come il plug-in HTTP Everywhere, ma comunque utile)
  • altri problemi di privacy come attivare / disattivare la funzione A PING

È possibile utilizzare NoScript:

  • per ridurre l'opportunità di attacchi da parte di contenuti remoti: uno script JS bloccato o l'applet Java / Flash non possono provare a sfruttare un bug di sicurezza nel client
  • per isolare i siti Web in modo che le interazioni inappropriate siano bloccate

Entrambi sono importanti per la sicurezza.

Falsi positivi

A volte NoScript può avere falsi positivi sui siti con contenuto interattivo incorniciato, sul rilevamento XSS ... alla fine, l'utente decide cosa fare. L'utente ha sempre il controllo, ma i messaggi di avviso di NoScript possono essere piuttosto difficili da capire per l'utente non tecnico.

Plug-in contro proxy

Non tutti i plug-in rispettano le impostazioni del proxy del browser e alcuni plug-in sono persino stati mostrati a volte ma non sempre rispettano le proprie impostazioni proxy. Questo è estremamente pericoloso in quanto qualsiasi richiesta in uscita che non è proxy rivelerà il tuo indirizzo IP che hai cercato così difficile da nascondere, e il comportamento incoerente da WRT a proxy potrebbe dare l'illusione di sicurezza.

Inoltre, un'applet Java rivelerà volentieri l'indirizzo IP locale dei socket, quindi potrebbe essere utilizzato per scoprire il proprio indirizzo IP privato che può essere un'informazione identificativa (se non si utilizza un indirizzo IP privato molto comune ).

Tutti i proxy, non solo Tor

Queste considerazioni non si applicano solo a Tor ma anche a qualsiasi utilizzo di un proxy per l'anonimato .

Un modo per rendere più sicuri i proxy è bloccare tutto il traffico in uscita verso Internet (tranne i dati inviati al proxy) a livello di firewall . Ciò fornirà la difesa in modo approfondito contro i client non funzionanti.

Tuttavia, la configurazione di un firewall (filtro pacchetto) può essere eseguita di solito solo dall'amministratore, è una funzionalità estesa al sistema (anche se si desidera solo bloccare la connessione creata localmente dai programmi in esecuzione con l'id utente). Quindi l'opzione firewall non sarà accessibile a tutti gli utenti.

    
risposta data 07.07.2012 - 09:29
fonte

Leggi altre domande sui tag