我应该使用No-Script吗?
我听说网络浏览是计算机上最可能的恶意软件来源。 我也听说人们不需要担心Linux上的病毒。 那么,我是否应该使用浏览器扩展,允许我有选择地为喜欢的域启用javascript,例如No-Script或Not-Script?
非也!
攻击者可以使用恶意脚本执行多种攻击,例如XSS:
跨站点脚本(XSS)是Web应用程序中常见的一种计算机安全漏洞,它使恶意攻击者能够将客户端脚本注入其他用户查看的网页中……
在维基百科中阅读更多内容。
没有脚本可以让您控制网页(或网站)上的所有脚本及其使用的插件,如flash,java等。您可以将受信任的站点添加到白名单,而另一个不允许运行脚本,除非你让他们(暂时或永久)。
无脚本网站 ( faq )上的问题和答案可以提供一些说明:
为什么我应该只为可信站点允许JavaScript,Java,Flash和插件执行?
JavaScript,Java和Flash,即使是非常不同的技术,也有一个共同点:它们在您的计算机上执行来自远程站点的代码。 三者都实现了某种沙盒模型,限制了远程代码可以执行的活动:例如,沙盒代码不应该读取/写入本地硬盘,也不应该与底层操作系统或外部应用程序交互。 即使沙箱是防弹的(不是这种情况,请参见下文),即使您或您的操作系统将整个浏览器用另一个沙箱包裹(例如Vista或Sandboxie上的IE7 +),仅仅在浏览器中运行沙盒代码的能力也可以被利用用于恶意目的,例如窃取您存储或在网上输入的重要信息(信用卡号,电子邮件凭证等)或“冒充”您,例如在假金融交易中,发起像Cross Site这样的“云”攻击脚本(XSS)或CSRF,无需转发浏览器或获得高于普通网页的权限。 仅这一点就足以让我们只在受信任的站点上编写脚本。 此外,许多安全漏洞旨在实现“特权升级”,即利用沙箱的实现错误来获取更多特权并执行令人讨厌的任务,如安装特洛伊木马,rootkit和键盘记录器。 这种攻击也可以针对JavaScript,Java,Flash和其他插件:
对于坏人来说,JavaScript看起来是一个非常宝贵的工具:如果JavaScript被禁用,迄今发现的大多数固定浏览器可利用漏洞都是无效的。 也许原因是脚本更容易测试和搜索漏洞,即使你是一个新手黑客:每个人和他的兄弟都相信是一个JavaScript程序员:P
Java有一个更好的历史,至少在它的“标准”版本中是Sun JVM。相反,有一些病毒是为Microsoft JVM编写的,比如ByteVerifier.Trojan。 无论如何,Java安全模型允许签名的applet(其完整性和来源由数字证书保证的applet)以本地特权运行,即就像它们是常规安装的应用程序一样。 这一点,以及总是有一些用户在“这个applet是用坏/假证书签名的警告之前”的事实。你不想执行它!执行它是否真的很疯狂?从来没有!] [Nope] [No] [也许]“,会搜索,找到并点击”是“按钮,甚至给Firefox造成一些不好的声誉(注意文章很蹩脚,但你可以想象有很多回音)。
Flash过去被认为是相对安全的,但由于其使用变得如此广泛,已经发现了更高速率的严重安全漏洞。 Flash applet也被利用来对他们托管的网站发起XSS攻击
其他插件更难以利用,因为它们中的大多数都没有托管像Java和Flash那样的虚拟机,但它们仍然可以暴露漏洞溢出等漏洞,这些漏洞可能会在使用特制内容时执行任意代码。 最近我们看到了其中几个插件漏洞,影响了Acrobat Reader,Quicktime,RealPlayer和其他多媒体助手。
请注意,上述技术通常都没有(95%的时间)受到公知和尚未修补的可利用问题的影响,但NoScript的观点恰恰是这样:防止利用甚至未知的安全漏洞,因为当它们被发现时可能为时已晚;)最有效的方法是禁用不受信任的网站上的潜在威胁。
从理论上讲,您可以在Linux和Mac OS上获得病毒。 大多数人不这样做的原因是Linux和Mac OS不是大目标。 恶意软件编写者希望以最小的努力投入广泛的网络。 其次,Linux / Unix提供更多的安全性和更好的知情用户(一般而言)。 话虽如此,我总是在Windows,Mac OS X和Ubuntu上使用Flashblock和No Script。 页面加载速度更快,它可以通过阻止Flash Cookie和各种其他问题来帮助实现在线匿名。 无论平台如何,我都强烈推荐它们。 至少它们会让您更加了解正在尝试执行的页面。
我经常在Firefox上使用NoScript,并推荐它用于日常使用。
它不会阻止广告,因此您仍然支持其管理员的网站费用。
但是,它会阻止Flash广告,大大减少浏览时的CPU负载(假设您已安装了Flash插件)
您可以单独允许内容运行,因此大多数video共享站点将在您允许与video播放相关的脚本后开始工作(如果页面上有多个脚本,可能需要一些猜测)。 您授予的权限对于会话可能是临时的,也可能是永久性的,因此除非您决定再次阻止它们,否则该站点将起作用。
填写网站注册等表格时,最好在填写表格之前允许脚本,这样您就不必重复工作了。 允许页面上的脚本强制重新加载页面。
NoScript授予您最重要的保护措施来自恶意网站,这些网站会尝试更改您的窗口大小,将内容发布到社交网站或执行其他任何不需要的操作。 NoScript将默认操作更改为拒绝,如果您判断脚本是可信的,则可以选择每个站点。
这是Firefox的安装链接: https : //addons.mozilla.org/en-US/firefox/addon/noscript/