Является ли Firefox менее уязвимым для использования при запуске NoScript?

993
PP.

В статье под названием «iPhone, IE, Firefox, Safari попадаются на хакерском конкурсе» на сайте The Register обсуждается возможность использования Firefox.

Интересно, защищает ли NoScript от написанных подвигов; или можно ли использовать браузер независимо от загрузки расширения.

Есть мнения? Может сделать это вики-сообществом, учитывая, что это не просто сообщение о проблеме / решении.

2

2 ответа на вопрос

4
Simon P Stevens

На сайте нет подробной информации о том, какие именно эксплойты использовались, поэтому невозможно сказать, были ли они сорваны NoScripts.

NoScripts блокирует выполнение всех сценариев JavaScript и сторонних разработчиков (например, flash / sliverlight), поэтому в значительной степени оставляет вам только базовый HTML. Хотя, безусловно, возможно, что ошибка рендеринга в браузере может выявить уязвимость в чистом HTML, гораздо менее вероятно, так как никакой код не выполняется специально так же, как с движком JavaScript. Поверхность, на которую можно атаковать, значительно уменьшена, поэтому вероятность нахождения успешной атаки ниже.

Конечно, нужно учитывать и то, что атака может быть нацелена на сам NoScripts. Конечно, есть вероятность, что в NoScripts есть ошибки, которые позволяют выполнять удаленный код.

Наконец, вам нужно учитывать действия пользователя. Насколько строго пользователи проверяют надежность сайта, прежде чем занести его в белый список. Выполняете ли вы подробный анализ кода сайта и всех его сценариев перед тем, как внести его в белый список, или просто нажимаете кнопку «Разрешить», когда видите «Этот сайт требует JavaScript». Я подозреваю, что, вероятно, нетрудно заставить большинство пользователей вносить белый список в ваш сайт, и, как только это будет сделано, вы также можете не запускать NoScripts.

2
CesarB

Я быстро взглянул на рекомендации по безопасности для Firefox 3.6 . Хотя я мог пропустить некоторые, 6 из 13 рекомендаций на этой странице можно было бы избежать, отключив JavaScript. Кроме того, один из оставшихся зависит от загружаемых шрифтов, которые NoScript также блокирует по умолчанию (это опция «Forbid @ font-face» в диалоговом окне конфигурации).

В другой раз, когда я смотрел на это, это было примерно в той же пропорции: около 50% уязвимостей в Firefox зависели от JavaScript.

Отключение JavaScript также может усложнить использование других уязвимостей, поскольку злоумышленник должен создать атаку, для которой не требуется JavaScript. Также вполне вероятно, что злоумышленнику будет просто наплевать и использовать JavaScript, даже если он не нужен; в конце концов, люди, которые используют NoScript, как правило, относятся к типу, ориентированному на безопасность, и обновляют браузер, как только объявляется об уязвимости безопасности.

И, наконец, с помощью NoScript вы можете разрешить JavaScript с веб-сайта, сохраняя отключенные скрипты из других доменов, включенных в него. Сюда входят сторонние рекламные серверы, сторонний код отслеживания и использование JavaScript в скрытом iframe внизу страницы, который поступает из другого домена (последний часто используется для взломанных сайтов).