Действительно ли Firefox менее уязвим для использования при выполнении NoScript?
Статья назвала "iPhone, IE, Firefox, Safari затоптался в конкурсе хакера" в веб-сайте Регистра, обсуждает тот Firefox, может быть использован.
Интересно, защищает ли NoScript от вида использования, записанного о; или ли браузер может быть использован независимо от загрузки расширения.
Какие-либо мнения? Мог бы сделать это общественной Wiki, учитывая, что это не простое сообщение проблемы/решения.
2 ответа
Сайт не сообщает подробности относительно точно, какое использование использовалось, таким образом, невозможно сказать, мешал ли им NoScript.
Выполнение блоков NoScript всего JavaScript и сторонних сценариев (как flash/sliverlight), так в значительной степени оставляет Вас только с основным HTML. В то время как, конечно, возможно, что ошибка рендеринга в браузере могла выставить уязвимость в чистом HTML, это гораздо менее вероятно, поскольку никакой код конкретно не выполняется таким же образом как с механизмом JavaScript. Уязвимая площадь поверхности решительно уменьшается так вероятность нахождения, что успешное нападение ниже.
Другая область для рассмотрения, конечно - то, что нападение могло предназначаться для самого NoScript. Существует, конечно, шанс, что NoScript имеет ошибки, которые позволяют удаленное выполнение кода.
Наконец, необходимо рассмотреть пользовательские действия. Как строго делают пользователи проверяют, что сайт защищен прежде, чем добавить его в белый список. Вы выполняете подробно обзор кода сайта и всех его сценариев, прежде чем Вы добавите его в белый список или сделаете Вас просто, хит позволяет, когда Вы обращаетесь "На этот сайт, требует JavaScript". Я подозреваю, что это должно, вероятно, не трудно заставить большинство пользователей добавлять Ваш сайт в белый список, потому что, как только они делают, они повторно подвергают себя большому количеству тех нападений снова.
Я бросил беглый взгляд на Консультации безопасности для Firefox 3.6. В то время как я, возможно, скучал по некоторым, 6 из этих 13 консультаций на той странице можно было избежать путем отключения JavaScript. Кроме того, один из остающихся зависит от загружаемых шрифтов, который NoScript также блоки по умолчанию (это - опция "Forbid @font-face" в своем диалоговом окне конфигурации).
Другие времена я посмотрел на него, это было о той же пропорции: приблизительно 50% уязвимостей на Firefox зависели от JavaScript.
Отключение JavaScript может также сделать использование других уязвимостей тяжелее, так как взломщик должен создать нападение, для которого не нужен JavaScript. Также довольно вероятно, что взломщик не будет просто заботиться и использовать JavaScript даже если не нужный; в конце концов, люди, которые используют NoScript, склонны быть сознательным безопасность типом и обновлять браузер, как только об уязвимости системы обеспечения безопасности объявляют.
И, наконец, с NoScript можно позволить JavaScript с веб-сайта, в то время как хранение отключило сценарии от других доменов, включенных в него. Это включает сторонние серверы рекламы, третье лицо, отслеживающее код и использование JavaScript в скрытом iframe внизу страницы, который прибывает из другого домена (этот последний является общей вещью, сделанной на поставленные под угрозу сайты).