ฉันควรใช้ไม่มีสคริปต์หรือไม่

10

ฉันได้ยินมาว่าการท่องเว็บเป็นแหล่งกำเนิดมัลแวร์ที่น่าจะเป็นในคอมพิวเตอร์ในปัจจุบัน ฉันได้ยินด้วยว่าไม่จำเป็นต้องกังวลเกี่ยวกับไวรัสบน Linux ดังนั้นฉันควรใช้ส่วนขยายเบราว์เซอร์ที่อนุญาตให้ฉันเลือกเปิดใช้งานจาวาสคริปต์สำหรับโดเมนที่ได้รับความนิยมเช่น No-Script หรือ Not-Script หรือไม่

firefox  chromium 
daithib8
แหล่งที่มา
1
ฉันใช้มันด้วยตัวเอง แต่ฉันคิดว่ามันไม่ใช่แบบเริ่มต้นสำหรับ "ผู้ป่วยน้อยกว่า" แม้ว่าฉันจะไม่ได้ใส่ใจจนกระทั่งพบแป้นพิมพ์ลัด ฉันบอกพี่สาวว่า "เปลี่ยนไปใช้ Ubuntu ไม่มีไวรัส" แล้วยืนยันว่าเธอใช้ No-Script หรือไม่ ไม่มีโอกาส. อย่างน้อยฉันจะบอกเธอว่าเธอจะปลอดภัยกว่า x% บน Ubuntu หรือไม่?
daithib8
@ daithib8 การใช้งานnon-starterนั้นเหมาะสมอย่างยิ่งที่นี่
belacqua
โปรดทราบว่า NoScript คือการเพิ่มความปลอดภัย คุณใช้เบราว์เซอร์ที่ปลอดภัยในระบบปฏิบัติการที่ปลอดภัยอยู่แล้ว Noscript เป็นส่วนเสริมที่ยอดเยี่ยมและฉันใช้มันตลอดเวลา แต่ไม่ใช่สำหรับทุกคน บางคนถูกปิดด้วยจำนวนการบำรุงรักษาที่จำเป็นเมื่อเรียกดูเว็บไซต์ต่างประเทศ (มันจะทำลายพวกเขา) ฉันคิดว่ามันคุ้มค่ากับความยุ่งยาก แต่มันเป็นการตัดสินใจของคุณ

คำตอบ:

13

อย่างแน่นอน!

ผู้โจมตีสามารถใช้สคริปต์ที่เป็นอันตรายเพื่อทำการโจมตีหลายครั้งเช่น XSS:

Cross-site scripting (XSS) เป็นช่องโหว่ด้านความปลอดภัยของคอมพิวเตอร์ที่พบได้ทั่วไปในเว็บแอปพลิเคชั่นที่เปิดโอกาสให้ผู้โจมตีประสงค์ร้ายฉีดสคริปต์ฝั่งไคลเอ็นต์ลงในหน้าเว็บที่ผู้ใช้อื่นมอง ...

อ่านเพิ่มเติมในวิกิพีเดีย

ไม่มีสคริปต์ให้อำนาจคุณในการควบคุมสคริปต์ทั้งหมดบนหน้าเว็บ (หรือเว็บไซต์) และปลั๊กอินที่ใช้เช่นแฟลช, java, ฯลฯ คุณเพิ่มไซต์ที่เชื่อถือได้ให้กับรายการที่อนุญาตและไม่อนุญาตให้เรียกใช้สคริปต์อื่น ๆ เว้นแต่คุณจะให้พวกเขา (ชั่วคราวหรือถาวร)

คำถามและคำตอบของบนเว็บไซต์ไม่มีสคริปต์ ( FAQ ) สามารถให้ชี้แจงบาง:

เหตุใดฉันจึงควรอนุญาตให้ใช้ JavaScript, Java, Flash และปลั๊กอินสำหรับเว็บไซต์ที่เชื่อถือได้เท่านั้น

JavaScript, Java และ Flash แม้จะเป็นเทคโนโลยีที่แตกต่างกันมากก็มีสิ่งหนึ่งที่เหมือนกัน: พวกเขาดำเนินการกับรหัสคอมพิวเตอร์ของคุณที่มาจากไซต์ระยะไกล ทั้งสามใช้โมเดล sandbox บางชนิด จำกัด รหัสกิจกรรมระยะไกลสามารถทำได้: เช่นรหัส sandboxed ไม่ควรอ่าน / เขียนฮาร์ดดิสก์ภายในเครื่องของคุณหรือมีปฏิสัมพันธ์กับระบบปฏิบัติการพื้นฐานหรือแอปพลิเคชันภายนอก แม้ว่ากล่องแซนด์จะมีสัญลักษณ์แสดงหัวข้อย่อย (ไม่ใช่กรณีอ่านด้านล่าง) และแม้ว่าคุณหรือระบบปฏิบัติการของคุณจะห่อทั้งเบราว์เซอร์ด้วยแซนด์บ็อกซ์อื่น (เช่น IE7 + บน Vista หรือ Sandboxie) ความสามารถในการใช้งานแซนด์บ็อกซ์ ถูกเอาเปรียบเพื่อจุดประสงค์ที่เป็นอันตรายเช่นขโมยข้อมูลสำคัญที่คุณจัดเก็บหรือป้อนบนเว็บ (หมายเลขบัตรเครดิตหนังสือรับรองอีเมลและอื่น ๆ ) หรือ "ปลอมแปลง" คุณเช่น ในธุรกรรมทางการเงินปลอมการเปิดตัวการโจมตี "คลาวด์" เช่น Cross Site Scripting (XSS) หรือ CSRF โดยไม่จำเป็นต้องหลบหนีจากเบราว์เซอร์ของคุณหรือรับสิทธิพิเศษสูงกว่าหน้าเว็บปกติ สิ่งนี้มีเหตุผลเพียงพอที่จะอนุญาตให้ใช้สคริปต์บนไซต์ที่เชื่อถือได้เท่านั้น ยิ่งไปกว่านั้นการหาช่องโหว่ด้านความปลอดภัยจำนวนมากนั้นมีจุดประสงค์เพื่อให้ได้ "การเพิ่มสิทธิพิเศษ" เช่นการใช้ประโยชน์จากข้อผิดพลาดในการใช้งานของ sandbox เพื่อรับสิทธิพิเศษมากขึ้นและทำงานที่น่ารังเกียจเช่นการติดตั้งโทรจัน การโจมตีประเภทนี้สามารถกำหนดเป้าหมาย JavaScript, Java, Flash และปลั๊กอินอื่น ๆ ได้เช่นกัน: สิ่งนี้มีเหตุผลเพียงพอที่จะอนุญาตให้ใช้สคริปต์บนไซต์ที่เชื่อถือได้เท่านั้น ยิ่งไปกว่านั้นการหาช่องโหว่ด้านความปลอดภัยจำนวนมากนั้นมีจุดประสงค์เพื่อให้ได้ "การเพิ่มสิทธิพิเศษ" เช่นการใช้ประโยชน์จากข้อผิดพลาดในการใช้งานของ sandbox เพื่อรับสิทธิพิเศษมากขึ้นและทำงานที่น่ารังเกียจเช่นการติดตั้งโทรจัน การโจมตีประเภทนี้สามารถกำหนดเป้าหมาย JavaScript, Java, Flash และปลั๊กอินอื่น ๆ ได้เช่นกัน: สิ่งนี้มีเหตุผลเพียงพอที่จะอนุญาตให้ใช้สคริปต์บนไซต์ที่เชื่อถือได้เท่านั้น ยิ่งไปกว่านั้นการหาช่องโหว่ด้านความปลอดภัยจำนวนมากนั้นมีจุดประสงค์เพื่อให้ได้ "การเพิ่มสิทธิพิเศษ" เช่นการใช้ประโยชน์จากข้อผิดพลาดในการใช้งานของ sandbox เพื่อรับสิทธิพิเศษมากขึ้นและทำงานที่น่ารังเกียจเช่นการติดตั้งโทรจัน การโจมตีประเภทนี้สามารถกำหนดเป้าหมาย JavaScript, Java, Flash และปลั๊กอินอื่น ๆ ได้เช่นกัน:

  1. JavaScript ดูเหมือนว่าเป็นเครื่องมือที่มีค่ามากสำหรับคนเลว: ช่องโหว่ที่แก้ไขได้โดยเบราว์เซอร์ส่วนใหญ่ที่ค้นพบในปัจจุบันนั้นไม่มีประสิทธิภาพหาก JavaScript ถูกปิดใช้งาน บางทีเหตุผลก็คือสคริปต์นั้นง่ายต่อการทดสอบและค้นหาช่องโหว่แม้ว่าคุณจะเป็นแฮ็กเกอร์มือใหม่: ทุกคนและพี่ชายของเขาเชื่อว่าเป็นโปรแกรมเมอร์ JavaScript: P

  2. Java มีประวัติที่ดีกว่าอย่างน้อยในรูปแบบ "มาตรฐาน" Sun JVM มีไวรัสแทนที่จะเขียนขึ้นสำหรับ Microsoft JVM เช่น ByteVerifier.Trojan อย่างไรก็ตามรูปแบบความปลอดภัยของ Java อนุญาตให้แอปเพล็ตที่ลงนามแล้ว (แอปเพล็ตที่มีความสมบูรณ์และที่มามีการรับรองโดยใบรับรองดิจิทัล) เพื่อเรียกใช้ด้วยสิทธิ์ระดับท้องถิ่นเช่นเดียวกับที่พวกเขาติดตั้งปกติ สิ่งนี้บวกกับความจริงที่ว่ามีผู้ใช้อยู่เสมอซึ่งอยู่ข้างหน้าคำเตือนเช่น "แอปเพล็ตนี้เซ็นชื่อด้วยใบรับรองที่ไม่ดี / ปลอมคุณไม่ต้องการเรียกใช้มัน! ไม่เคย!] [ไม่] [ไม่] [อาจ] "จะค้นหาค้นหาและกดปุ่ม" ใช่ "ทำให้มีชื่อเสียงที่ไม่ดีแม้แต่กับ Firefox (โปรดสังเกตว่าบทความนี้ค่อนข้างง่อย )

  3. Flash เคยถูกพิจารณาว่าค่อนข้างปลอดภัย แต่เนื่องจากการใช้งานของมันได้กลายเป็นข้อบกพร่องด้านความปลอดภัยที่รุนแรงอย่างกว้างขวางพบว่าในอัตราที่สูงขึ้น แอปเพล็ตแฟลชยังถูกใช้ประโยชน์เพื่อเปิดการโจมตี XSS กับไซต์ที่พวกเขากำลังโฮสต์>

  4. ปลั๊กอินอื่น ๆ นั้นใช้ประโยชน์ได้ยากกว่าเนื่องจากส่วนใหญ่ไม่ได้โฮสต์เครื่องเสมือนเช่น Java และ Flash แต่พวกเขายังคงสามารถเปิดเผยรูเช่นบัฟเฟอร์โอเวอร์รันที่อาจเรียกใช้รหัสโดยอำเภอใจเมื่อถูกป้อนด้วยเนื้อหาที่ออกแบบมาเป็นพิเศษ เมื่อเร็ว ๆ นี้เราได้เห็นช่องโหว่ของปลั๊กอินเหล่านี้หลายแห่งซึ่งมีผลต่อ Acrobat Reader, Quicktime, RealPlayer และผู้ช่วยมัลติมีเดียอื่น ๆ

โปรดสังเกตว่าโดยปกติแล้วไม่มีเทคโนโลยีใด ๆ ดังกล่าว (95% ของเวลา) ที่ได้รับผลกระทบจากปัญหาสาธารณะที่รู้จักและยังไม่ได้แก้ไข แต่จุดของ NoScript เป็นเพียงแค่นี้: ป้องกันการเอารัดเอาเปรียบของช่องโหว่ด้านความปลอดภัยที่ยังไม่ทราบ มันอาจจะสายเกินไป) วิธีที่มีประสิทธิภาพมากที่สุดคือการปิดใช้งานการคุกคามที่อาจเกิดขึ้นกับไซต์ที่ไม่น่าเชื่อถือ

Pedram
แหล่งที่มา
5

ในทางทฤษฎีคุณจะได้รับไวรัสบน Linux และ Mac OS เหตุผลที่คนส่วนใหญ่ไม่เป็นเพราะ Linux และ Mac OS ไม่ใช่เป้าหมายที่ยิ่งใหญ่ ผู้เขียนมัลแวร์ต้องการใช้เครือข่ายที่กว้างด้วยความพยายามเพียงเล็กน้อย อันดับที่สอง Linux / Unix มีความปลอดภัยมากขึ้นและผู้ใช้ที่มีความรู้ดีขึ้น (โดยทั่วไป) ที่ถูกกล่าวว่าฉันใช้ Flashblock และไม่มีสคริปต์บน Windows, Mac OS X และ Ubuntu ตลอดเวลา หน้าโหลดเร็วขึ้นช่วยได้ด้วยการไม่เปิดเผยตัวตนออนไลน์โดยป้องกันคุกกี้แฟลชและปัญหาอื่น ๆ ทั้งหมด ฉันขอแนะนำพวกเขาโดยไม่คำนึงถึงแพลตฟอร์ม อย่างน้อยพวกเขาก็ทำให้คุณตระหนักถึงหน้าที่พยายามทำมากขึ้น

manyxcxi
แหล่งที่มา
ผมขอแนะนำให้คุณอ่านบทความนี้: theregister.co.uk/2004/10/22/linux_v_windows_security
Apache ไม่เกี่ยวข้องกับจุดที่ทำที่นี่จริงๆ ด้วยเดสก์ท็อปรูความปลอดภัยหลักคือผู้ใช้ที่คลิกอะไร เนื่องจาก Canonical ประสบความสำเร็จมากขึ้นในการกำหนดเป้าหมายประเภทที่ไม่ใช่ความจริงฉันมั่นใจว่าจะมีปัญหาด้านความปลอดภัยเพิ่มขึ้น
Chan-Ho Suh
4

ฉันใช้ NoScript เป็นประจำบน Firefox และแนะนำให้ใช้ในชีวิตประจำวัน

มันไม่ได้บล็อกโฆษณาดังนั้นคุณยังคงสนับสนุนค่าใช้จ่ายของไซต์สำหรับผู้ดูแลระบบของพวกเขา

อย่างไรก็ตามจะบล็อกโฆษณาแฟลชลดภาระของ CPU อย่างมากเมื่อเรียกดู (โดยที่คุณติดตั้งปลั๊กอินแฟลชไว้)

คุณสามารถอนุญาตให้เนื้อหาทำงานแยกกันได้ดังนั้นไซต์แชร์วิดีโอส่วนใหญ่จะเริ่มทำงานหลังจากที่คุณอนุญาตสคริปต์ที่เกี่ยวข้องกับการเล่นวิดีโอ (ซึ่งอาจใช้เวลาในการเดาว่ามีหลายสคริปต์ในหน้าเว็บ) สิทธิ์ที่คุณให้อาจเป็นชั่วคราวสำหรับเซสชันหรือถาวรเพื่อให้ไซต์ใช้งานได้เว้นแต่คุณจะตัดสินใจปิดกั้นอีกครั้ง

เมื่อกรอกแบบฟอร์มเช่นการลงทะเบียนไซต์ขอแนะนำให้สคริปต์ก่อนกรอกแบบฟอร์มเพื่อให้คุณไม่ต้องทำงานซ้ำ การอนุญาตให้สคริปต์บนหน้าเว็บบังคับให้โหลดหน้าซ้ำ

การป้องกันที่สำคัญที่สุด NoScript ให้คุณมาจากเว็บไซต์ที่เป็นอันตรายที่พยายามเปลี่ยนขนาดหน้าต่างของคุณโพสต์เนื้อหาไปยังเว็บไซต์โซเชียลหรือทำสิ่งอื่นที่ไม่ต้องการ NoScript เปลี่ยนการกระทำเริ่มต้นเป็นปฏิเสธและคุณสามารถเลือกต่อไซต์ได้หากคุณตัดสินว่าสคริปต์นั้นน่าเชื่อถือ

นี่คือลิงก์ติดตั้งสำหรับ Firefox: https://addons.mozilla.org/en-US/firefox/addon/noscript/

Joni Nevalainen
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.