NoScript

NoScript

コンテンツ
1 特徴
1.1 アクティブ コンテンツのブロック 1.2 アンチ XSS 保護 1.3 Application Boundaries Enforcer (ABE) 1.4 ClearClick (アンチクリックジャッキング) 1.5 HTTPS の機能強化 2 賞 3 競合
3.1 Adblock Plus との競合 3.2 Ghostery との競合
4 こちらもご覧ください
5 参考文献
6 外部リンク

特徴
image"
Firefox の従来の NoScript メニュー

アクティブ コンテンツのブロック
デフォルトでは、NoScript はアクティブな (実行可能な) Web コンテンツをブロックします。これは、拡張機能のツールバー メニューからサイトまたはドメインをホワイトリストに登録するか、プレースホルダー アイコンをクリックすることで、完全または部分的にブロック解除できます。
既定の構成では、アクティブ コンテンツはグローバルに拒否されますが、ユーザーはこれを好転させ、NoScript を使用して特定の不要なコンテンツをブロックすることができます。許可リストは、永続的または一時的 (ブラウザーが閉じるか、ユーザーがアクセス許可を取り消すまで) の場合がアクティブ コンテンツは、JavaScript、Web フォント、メディアコーデック、WebGL、およびFlashで構成されます。このアドオンは、セキュリティの悪用に対する特定の対策も提供します。
多くの Web ブラウザ攻撃は、ブラウザが通常問題なく実行するアクティブ コンテンツを必要とするため、デフォルトでそのようなコンテンツを無効にし、必要な範囲でのみ使用することで、脆弱性が悪用される可能性を減らします。さらに、このコンテンツをロードしないと、帯域幅が大幅に節約され、一部の形式の Web 追跡が無効になります。
NoScript は、開発者が JavaScript をオフにした状態でサイトがどの程度機能するかを確認するのに役立ちます。また、ページ内ポップアップ メッセージや特定のペイウォールなど、機能するために JavaScript が必要な多くの刺激的な Web 要素を削除することもできます。
NoScript は、Firefoxのツールバーアイコンまたはステータス バーアイコンの形を取ります。すべての Web サイトに表示され、NoScript が表示中の Web ページでのスクリプトの実行をブロック、許可、または部分的に許可しているかどうかを示します。NoScript アイコンをクリックまたはホバリング (バージョン 2.0.3rc1 以降) すると、ユーザーはスクリプトの処理を許可するか禁止するかを選択できます。
NoScript のインターフェイスは、Web ページを右クリックするか、ページの下部にある特徴的な NoScript ボックス (デフォルト) でアクセスするかどうかに関係なく、ブロックされているスクリプトの URL を表示しますが、いかなる種類の参照も提供しません。特定のスクリプトが安全に実行できるかどうかを調べます。複雑な Web ページでは、スクリプトを許可するか、スクリプトをブロックするか、一時的に許可するかを選択するだけで、ユーザーは十数個の異なる暗号化された URL と機能しない Web ページに直面する可能性が
2017 年 11 月 14 日、Giorgio Maone は NoScript 10 を発表しました。これは 5.x バージョンとは「大きく異なり」、WebExtension テクノロジを使用してFirefox Quantumと互換性が 2017 年 11 月 20 日、Maone は Firefox 57 以降用のバージョン 10.1.1 をリリースしました。NoScript は、Android 版 Firefox で利用できます。

アンチ XSS 保護
2007 年 4 月 11 日、NoScript 1.1.4.7 が公開され 、これまで Web ブラウザーで配信されたタイプ 0 およびタイプ 1クロスサイト スクリプティング(XSS) に対する最初のクライアント側保護が導入されました。
Web サイトが別のサイト内に HTML または JavaScript コードを挿入しようとすると (同一オリジン ポリシーの違反)、NoScript は悪意のあるリクエストをフィルタリングし、その危険なペイロードを無力化します。
数年後、同様の機能がMicrosoft Internet Explorer 8 やGoogle Chromeに採用されました。

Application Boundaries Enforcer (ABE)
Application Boundaries Enforcer (ABE) は、ブラウザー内で実行されるファイアウォールのようなコンポーネントを提供することにより、NoScript によって既に提供されているWeb アプリケーション指向の保護を強化することを目的とした組み込みの NoScript モジュールです。
この「ファイアウォール」は、ユーザーや Web 開発者によって直接定義されたポリシーに従って、ユーザーに関連する機密性の高い各 Web アプリケーション (プラグイン、Web メール、オンライン バンキングなど) の境界を定義および保護することに特化しています。 /administrator、または信頼できるサード パーティ。デフォルト設定では、NoScript の ABE は、ルーターや機密性の高い Web アプリケーションなどのイントラネット リソースを狙ったCSRFおよびDNS リバインディング攻撃に対する保護を提供します。

ClearClick (アンチクリックジャッキング)
2008 年 10 月 8 日にリリースされたNoScript の ClearClick 機能は、ユーザーが埋め込まれたドキュメントやアプレットの非表示または「修復された」ページ要素をクリックするのを防ぎ、あらゆる種類のクリックジャッキング(つまり、フレームやプラグインから) を無効にします。
これにより、NoScript は「クリックジャッキング攻撃に対して妥当な程度の保護を提供する、自由に利用できる唯一の製品となります。

HTTPS の機能強化
NoScript は、中間者攻撃を防ぐために、一部の機密サイトへの接続を確立するときに、ブラウザーに常にHTTPSを使用するように強制できます。この動作は、 Strict Transport Securityヘッダーを送信することによって Web サイト自体によってトリガーされるか、Strict Transport Security をまだサポートしていない Web サイトのユーザーによって構成されます。
NoScript の HTTPS 拡張機能は、Electronic Frontier FoundationによってHTTPS Everywhereアドオンの基礎として使用されています。


PC Worldは、NoScript を 2006 年のベスト 100 製品の 1 つに選びました。
2008 年、NoScript はAbout.comの「Best Security Add-On」編集賞を受賞しました。
2010 年、NoScript はAbout.comの「Best Privacy/Security Add-On」部門で「The Reader’s Choice Awards」を受賞しました。
2011 年、NoScript はAbout.comの「Best Privacy/Security Add-On」部門で「The Reader’s Choice Awards」を 2 年連続で受賞しました。
NoScript は、Dragon Research Group の「セキュリティ イノベーション グラント」の 2011 年 (第 1 版) の勝者でした。この賞は、独立した委員会によって審査され、情報セキュリティの分野で最も革新的なプロジェクトに与えられます。

競合

Adblock Plus との競合
2009 年 5 月、NoScript の開発者である Giorgio Maone と Firefox の広告ブロック拡張機能Adblock Plusの開発者の間で「拡張戦争」が勃発したことが報告されました。Maone が AdBlock によって有効化されたブロックを回避するバージョンの NoScript をリリースした後です。プラスフィルター。 この回避策を実装するコードは、検出を避けるために「カモフラージュ」されています 。Maone は、自分の Web サイトをブロックするフィルターに対応して実装したと述べています。Mozilla Add-onsサイトの管理者による、サイトがアドオンの変更に関するガイドラインを変更するという批判と宣言が高まった後、 Maone はコードを削除し、完全な謝罪を発表しました。

Ghostery との競合
Adblock Plus 事件の直後に 、Maone がWeb 追跡ソフトウェアを報告するために Ghostery が使用していた通知を無効にする変更を Web サイトに実装した後、Maone とGhosteryアドオンの開発者の間で論争が起こりました。これは、「Ghostery が NoScript の Web サイトのトラッカーと広告ネットワークについて報告するのを防ぐ」試みとして解釈されました。それに応じて、Maone は、Ghostery の通知が NoScript サイトの寄付ボタンを覆い隠したために変更が行われたと述べた. Maone が彼のサイトの CSS を変更して、Ghostery 通知を無効にするのではなく、移動するようにしたことで、この競合は解決されました。

こちらもご覧ください
image
無料でオープンソースのソフトウェア ポータル
コンテンツ セキュリティ ポリシー
フレームキラー
Firefox 拡張機能一覧#プライバシー・セキュリティ GNU LibreJS HTTP スイッチボード
uBlock オリジン

参考文献
^ “バージョン 1.0” . ノースクリプト。Mozilla アドオン。2005-05-13。2018-10-02のオリジナルからのアーカイブ。
^ ジョルジオ・マオーネ (2023 年 1 月 26 日)。「リリース 11.4.15」. 2023年1月27日閲覧。
^ noscript.net でサポートされている言語。
^ 「Google Chrome 向けに正式にリリースされた NoScript 拡張機能」 . ZDネット。2019-04-12取得。
^ 「NoScript 開発者に会う」 . モジラ。2011 年 10 月9 日にオリジナルからアーカイブされました。2011 年9 月 27 日閲覧。
^ 「Mozilla セキュリティ グループ」 . モジラ。2011 年 6 月 29 日にオリジナルからアーカイブされました。2011 年6 月 29 日閲覧。
^ スコット・オージェラ 「ノースクリプト」 . About.com 。2010 年 11 月27 日閲覧。
^ 「帯域幅消費に対する Firefox アドオンの影響 :: IANIX」 . ianix.com 。2020-07-14取得。
^ 「NoScript 変更ログ 2.0.3rc1」 . noscript.net . 2011年 3月16 日閲覧。
^ ブリンクマン、マーティン (2014 年 2 月 10 日)。「待望の Firefox NoScript ガイド」 . GHacks.net . 2017年1月14日閲覧。
^ ジョルジオ・マオーネ (2017-11-14)。「ダブルノースクリプト」 . Hackademix.net . 2017 年 11月15 日閲覧。
^ 「Issa1553 による化粧品の変更 · プル リクエスト #28 · hackademix/noscript」 . GitHub . 2019-01-04取得。
^ NoScript の最初の Anti-XSS リリースMozilla Add-ons ^ NoScript の機能 – アンチ XSS 保護 NoScript.net . 2008 年 4 月 22 日閲覧。
^ ネイサン・マクフェザーズ (2008-07-03)。「NoScript vs Internet Explorer 8 フィルター」 . ZDネット。2010 年 11 月27 日閲覧。
^ アダム・バース (2010-01-26)。「セキュリティの詳細: 新しいセキュリティ機能」 . グーグル。2010 年 11 月27 日閲覧。
^ ジョルジオ・マオーネ。「Application Boundaries Enforcer (ABE)」 . NoScript.net . 2010 年8 月 2 日閲覧。
^ ジョルジオ・マオーネ (2010-07-28)。「ABE パトロールがルーターにルーティング」 . Hackademix.net . 2010 年8 月 2 日閲覧。
^ 「NoScript – より安全な Firefox エクスペリエンスのための JavaScript/Java/Flash ブロッカー! – faq – InformAction」 . ^ ジョルジオ・マオーネ (2008-10-08)。「こんにちはClearClick、さようならクリックジャッキング」 . Hackademix.net . 2008年 10 月 27 日閲覧。
^ ミハル・ザレフスキー (2008-12-10)。「ブラウザ セキュリティ ハンドブック、パート 2、UI の修正」 . グーグル社 2008年 10 月 27 日閲覧。
^ NoScript FAQ: HTTPS NoScript.net . 2010 年 8 月 2 日閲覧。
^ HTTPS どこでも ^ PCワールド賞 pcworld.com . 2008 年 4 月 22 日閲覧。
^ About.com 2008 ベスト セキュリティ アドオン アワード about.com . 2010 年 8 月 2 日閲覧。
^ ベスト プライバシー/セキュリティ アドオン 2010 about.com . 2010 年 8 月 2 日閲覧。
^ ベスト プライバシー/セキュリティ アドオン 2011 about.com . 2011 年 3 月 20 日閲覧。
^ Security Innovation Grant 受賞者の発表 Dragon Research Group . 2011 年 7 月 17 日閲覧。
^次の場所にジャンプ:a b c グッディン、ダン。「Firefox ユーザーはアドオンの争いに巻き込まれました」 . レジスター。2013年 5 月 19 日閲覧。
^ 「拡張戦争 – NoScript 対 AdblockPlus」 . アヤシアン。2013年 5 月 19 日閲覧。
^ 「ノーサプライズ」 . 2009-05-01。
^ Adblock Plus および NoScript ユーザーの皆様、Mozilla コミュニティの皆様 ^次の場所にジャンプ:a b すべての NoScript ユーザーへの注意 ^ グレッグ・ヤードリー (2009-05-04)。「ブロッカーがブロッカーをブロックするとき」 . yardlay.ca。2009-05-08のオリジナルからのアーカイブ。
^ NoScript サポート フォーラム「Re: 最新の NoScript バージョン (1.9.2) で Adblock Plus が壊れる」、コメント #3704、Giorgio Maone (2009-05-04) ^ NoScript サポート フォーラム「Re: ユーザーの信頼を取り戻して維持するための追加の手順」、コメント #3935、Giorgio Maone (2009-05-06)

外部リンク
公式ウェブサイト
addons.mozilla.org の NoScript
Android 版 FirefoxのNoScript Anywhere (3.5 a 15)
How to Bypass Internet CensorshipのNoScript プレゼンテーション、FLOSSマニュアル、2011 年 3 月 10 日、240 pp.”