NoScript: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 18:25, 1 mar 2021 modifica Inseritore (discussione \| contributi) 1 733 modifiche →Note Etichetta: Modifica visuale ← Differenza precedente		Versione attuale delle 23:51, 21 lug 2024 modifica annulla Geoide (discussione \| contributi) Utenti autoverificati 58 384 modifiche →Controversie: rimossi wl secondo linee guida vedi Wikipedia:Wikilink#Wikilink nei titoli di sezioni e sottosezioni
(10 versioni intermedie di 7 utenti non mostrate)
Riga 1: [[File:NoScript screenshot.png\|thumb\|]] '''NoScript''' (o '''NoScript Security Suite''') è una [[Plugin (informatica)\|estensione]] [[Software libero\|libera]] e [[~~opensource~~open source]] per il browser [[Firefox]] e altri basati su [[Mozilla]]. NoScript permette l'esecuzione di [[script]] [[JavaScript]], [[Java (linguaggio di programmazione)\|Java]], [[Adobe Flash\|Flash]] (obsoleto dal 31 dicembre 2020<ref name=":0">{{Cita web\|url=~~https://web.archive.org/web/20171202123704/~~https://theblog.adobe.com/adobe-flash-update/#\|titolo=Flash & The Future of Interactive Content {{!}} Adobe Blog\|sito=web.archive.org\|data=2 dicembre 2017~~-12-02~~\|accesso=1º marzo 2021\|dataarchivio=2 dicembre 2017\|urlarchivio=https://web.archive.org/web/20171202123704/https://theblog.adobe.com/adobe-03flash-01update/\|urlmorto=sì}}</ref>[[Adobe Flash\|)]], [[Silverlight]] e altri plugin solo da quei siti internet scelti dall'utente e inseriti in una apposita ''Lista fidata''; questo fa aumentare la protezione contro molti attacchi informatici che sfruttano script malevoli per infettare il [[PC]]. È possibile permettere l'esecuzione completa di tutti gli script presenti su una determinata pagina, oppure consentirli temporaneamente mentre la si visita. Per gli script provenienti da domini di terze parti si può scegliere quali permettere e quali no selezionando il dominio di provenienza. NoScript fornisce anche una protezione anti-[[Cross-site scripting]] e anti-[[Clickjacking]]<ref name="chrome-announcement">{{~~cite~~cita web\|url=https://www.zdnet.com/google-amp/article/noscript-extension-officially-released-for-google-chrome/\|~~title~~titolo=NoScript Extension Officially Released for Google Chrome\|~~publisher~~editore=[[ZDNet]]\|~~access-date~~accesso=~~2019-04-~~12 aprile 2019}}</ref><ref name="noscript-developer">{{~~cite~~cita web\|url=https://addons.mozilla.org/en-US/firefox/addon/noscript/developers\|~~title~~titolo=Meet the NoScript Developer\|~~publisher~~editore=Mozilla\|~~access-date~~accesso=27 settembre 2011~~-09-27~~\|~~url-status=dead\|archive-url~~urlarchivio=https://web.archive.org/web/20111009040345/https://addons.mozilla.org/en-US/firefox/addon/noscript/developers\|~~archive-date~~dataarchivio=9 ottobre 2011~~-10-09~~}}</ref><ref name="mozilla-sec-group">{{~~cite~~cita web\|url=https://www.mozilla.org/projects/security/secgrouplist.html\|~~title~~titolo=Mozilla Security Group\|~~publisher~~editore=[[Mozilla]]\|~~access-date~~accesso=~~2011-06-~~29 giugno 2011\|~~url-status=dead\|archive-url~~urlarchivio=https://web.archive.org/web/20110629162354/http://www.mozilla.org/projects/security/secgrouplist.html\|~~archive-date~~dataarchivio=~~June~~29 ~~29,~~giugno 2011}}</ref>. == Caratteristiche == === Blocco attivo dei contenuti === Per impostazione predefinita, NoScript blocca il contenuto web attivo (eseguibile), che può essere completamente o parzialmente sbloccato consentendo di elencare un sito o un dominio dal menu della [[barra degli strumenti]] dell'estensione o facendo clic su un'icona segnaposto. Nella configurazione predefinita, il contenuto attivo è globalmente negato, sebbene l'utente possa capovolgerlo e utilizzare NoScript per bloccare specifici contenuti indesiderati. L'elenco delle autorizzazioni può essere permanente o temporaneo (fino alla chiusura del browser o alla revoca delle autorizzazioni). Il contenuto attivo può essere costituito da [[JavaScript]], caratteri Web, codec multimediali, [[WebGL]] e [[Adobe Flash\|Flash]] (obsoleto dal 31 dicembre 2020<ref name=":0" />). L'[[Plugin (informatica)\|add-on]] offre anche contromisure specifiche contro gli exploit di sicurezza<ref name="about.com">{{~~cite~~cita web\|url=http://browsers.about.com/od/48/gr/noscript.htm\|~~title~~titolo=NoScript\|~~author~~autore=Scott Orgera\|~~publisher~~editore=About.com\|~~access-date~~accesso=~~2010-11-~~27 novembre 2010\|dataarchivio=20 dicembre 2010\|urlarchivio=https://web.archive.org/web/20101220060900/http://browsers.about.com/od/48/gr/noscript.htm\|urlmorto=sì}}</ref>. Poiché molti attacchi al browser Web richiedono contenuto attivo che il browser normalmente esegue senza dubbio, disabilitare tale contenuto per impostazione predefinita e utilizzarlo solo nella misura in cui è effettivamente necessario riduce le possibilità di sfruttamento della vulnerabilità. Inoltre, il mancato caricamento di questo contenuto consente di risparmiare una notevole larghezza di banda<ref>{{~~Cite~~Cita web\|~~title~~titolo=The effect of Firefox addons on bandwidth consumption :: IANIX\|url=https://ianix.com/pub/firefox-addons-and-bandwidth-consumption.html\|~~access-date~~accesso=~~2020-07-~~14 luglio 2020\|~~website~~sito=ianix.com}}</ref> e vanifica alcune forme di web tracking. NoScript è utile anche per gli sviluppatori per vedere come funziona il loro sito con JavaScript disattivato. Può anche rimuovere molti elementi Web irritanti, come i messaggi pop-up in-page e alcuni [[paywall]], che richiedono JavaScript per funzionare. NoScript assume la forma di un'icona della barra degli strumenti o di un'icona della barra di stato in Firefox. Viene visualizzato su ogni [[Sito web\|sito Web]] per indicare se NoScript ha bloccato, consentito o parzialmente consentito l'esecuzione di script sulla pagina Web visualizzata. Facendo clic o passando il mouse (dalla versione 2.0.3rc1<ref>{{~~cite~~cita web\|~~title~~titolo=NoScript Changelog 2.0.3rc1\|url=https://noscript.net/changelog#2.0.3rc1\|~~publisher~~editore=noscript.net\|~~access-date~~accesso=16 ~~March~~marzo 2011}}</ref>) il cursore del mouse sull'icona NoScript dà all'utente la possibilità di consentire o vietare l'elaborazione dello script. L'interfaccia di NoScript, accessibile facendo clic con il pulsante destro del mouse sulla pagina Web o sulla casella NoScript distintiva nella parte inferiore della pagina (per impostazione predefinita), mostra l'URL degli script che sono bloccati, ma non fornisce alcun tipo di riferimento per verificare se un determinato script è sicuro da eseguire<ref>{{~~cite~~cita news\|~~last1~~cognome1=Brinkman\|~~first1~~nome1=Martin\|~~title~~titolo=The Firefox NoScript guide you have all been waiting for\|url=http://www.ghacks.net/2014/02/10/firefox-noscript-guide-waiting/\|~~website~~sito=GHacks.net\|~~access-date~~accesso=14 ~~January~~gennaio 2017\|~~date~~data=~~February~~10 ~~10,~~febbraio 2014}}</ref>. Con pagine web complesse, gli utenti possono trovarsi di fronte a ben più di una dozzina di URL criptici diversi e una pagina web non funzionante, con solo la possibilità di consentire lo script, bloccare lo script o consentirlo temporaneamente. Il 14 novembre 2017, Giorgio Maone ha annunciato NoScript 10, che sarà "molto diverso" dalle versioni 5.x, e utilizzerà la tecnologia WebExtension, rendendolo compatibile con Firefox Quantum<ref>{{~~cite~~cita web\|url=https://hackademix.net/2017/11/14/double-noscript/\|~~title~~titolo=Double NoScript\|~~author~~autore=Giorgio Maone\|~~date~~data=14 novembre 2017~~-11-14~~\|~~publisher~~editore=Hackademix.net\|~~access-date~~accesso=15 novembre 2017~~-11-15~~}}</ref>. Il 20 novembre 2017, Maone ha rilasciato la versione 10.1.1 per Firefox 57 e versioni successive. NoScript è disponibile per Firefox per Android<ref>{{~~Cite~~Cita web\|url=https://github.com/hackademix/noscript/pull/28\|~~title~~titolo=Cosmetic Changes by Issa1553 · Pull Request #28 · hackademix/noscript\|~~website~~sito=GitHub\|~~language~~lingua=en\|~~access-date~~accesso=4 gennaio 2019~~-01-04~~}}</ref>. === Protezione anti-XSS === L'11 aprile 2007 NoScript 1.1.4.7 è stato rilasciato pubblicamente<ref>[https://addons.mozilla.org/en-US/firefox/addon/noscript/versions/1.1.4.7 NoScript's first Anti-XSS release ''Mozilla Add-ons'']</ref> introducendo la prima protezione lato client contro il cross-site scripting di tipo 0 e di tipo 1 (XSS) mai fornita in un [[Browser\|browser web]]. Ogni volta che un sito Web tenta di iniettare codice HTML o JavaScript all'interno di un sito diverso (una violazione della politica della stessa origine), NoScript filtra la richiesta dannosa, neutralizzandone il pericoloso [[carico utile]] (payload)<ref>[https://noscript.net/features#xss NoScript Features-Anti-XSS protection] ''NoScript.net''. Retrieved April 22, 2008.</ref>. Funzionalità simili sono state adottate anni dopo da [[Internet Explorer\|Microsoft Internet Explorer 8]] e da [[Google Chrome]]. === Application Boundaries Enforcer (ABE) === L'Application Boundaries Enforcer (ABE) è un modulo NoScript integrato<ref>https://noscript.net/faq#clearclick</ref> pensato per rafforzare le protezioni orientate all'[[applicazione web]] già fornite da NoScript, fornendo un componente simile a un firewall in esecuzione all'interno del browser. Questo "firewall" è specializzato nella definizione e protezione dei confini di ogni applicazione web sensibile rilevante per l'utente (es. Plug-in, [[webmail]], [[Home banking\|online banking]] e così via), secondo policy definite direttamente dall'utente, lo sviluppatore web / amministratore o una terza parte fidata<ref>{{~~cite~~cita web\|url=https://noscript.net/abe\|~~title~~titolo=Application Boundaries Enforcer (ABE)\|~~author~~autore=Giorgio Maone\|~~publisher~~editore=NoScript.net\|~~access-date~~accesso=2 agosto 2010~~-08-02~~}}</ref>. Nella sua configurazione predefinita, l'ABE di NoScript fornisce protezione contro CSRF e attacchi di rebinding DNS mirati alle risorse intranet, come router e applicazioni web sensibili<ref>{{~~cite~~cita web\|url=https://hackademix.net/2010/07/28/abe-patrols-the-routes-to-your-routers/\|~~title~~titolo=ABE Patrols Routes to Your Routers\|~~author~~autore=Giorgio Maone\|~~date~~data=28 luglio 2010~~-07-28~~\|~~publisher~~editore=Hackademix.net\|~~access-date~~accesso=2 agosto 2010~~-08-02~~}}</ref>. === ClearClick (anti-clickjacking) === La funzione ClearClick di NoScript, rilasciata l'8 ottobre 2008, impedisce agli utenti di fare clic su elementi di pagina invisibili o "corretti" di documenti o applet incorporati, annullando tutti i tipi di [[clickjacking]] (ad esempio, da frame e plug-in<ref>{{~~cite~~cita web\|url=https://hackademix.net/2008/10/08/hello-clearclick-goodbye-clickjacking/\|~~title~~titolo=Hello ClearClick, Goodbye Clickjacking\|~~author~~autore=Giorgio Maone\|~~date~~data=8 ottobre 2008~~-10-08~~\|~~publisher~~editore=Hackademix.net\|~~access-date~~accesso=27 ottobre 2008~~-10-27~~}}</ref>). Questo rende NoScript "l'unico prodotto disponibile gratuitamente che offre un ragionevole grado di protezione" contro gli attacchi di [[clickjacking]]<ref name="Zalewski">{{~~cite~~cita web\|url=https://code.google.com/p/browsersec/wiki/Part2#Arbitrary_page_mashups_(UI_redressing)\|~~title~~titolo=Browser Security Handbook, Part 2, UI Redressing\|~~author~~autore=Michal Zalewski\|~~date~~data=~~2008-12-~~10 dicembre 2008\|~~publisher~~editore=Google Inc.\|~~access-date~~accesso=~~2008-10-~~27 ottobre 2008}}</ref>. === Miglioramenti HTTPS === NoScript può forzare il browser a utilizzare sempre HTTPS quando stabilisce connessioni ad alcuni siti sensibili, al fine di prevenire attacchi [[Attacco man in the middle\|man-in-the-middle]]. Questo comportamento può essere attivato dai siti Web stessi, inviando l' intestazione Strict Transport Security o configurato dagli utenti per quei siti Web che non supportano ancora Strict Transport Security<ref>[https://noscript.net/faq#https NoScript FAQ: HTTPS] ''NoScript.net''. Retrieved August 2, 2010.</ref>. Le funzionalità di miglioramento HTTPS di NoScript sono state utilizzate dalla Electronic Frontier Foundation come base del suo componente aggiuntivo [[HTTPS Everywhere]]<ref>[{{cita web\|url=https://eff.org/https-everywhere/ \|titolo=HTTPS Everywhere] \|lingua= \|data= \|accesso= }}</ref>. == Premi == * [[PC World]] ha scelto NoScript come uno dei 100 migliori prodotti del 2006<ref>[http://pcworld.com/article/125706-14/the_100_best_products_of_2006.html PC World Award] {{Webarchive\|url=https://web.archive.org/web/20110828015914/http://www.pcworld.com/article/125706-14/the_100_best_products_of_2006.html \|date=28 agosto 2011 }} ''pcworld.com''. Retrieved April 22, 2008.</ref>. * Nel 2008 NoScript ha vinto il premio editoriale di About.com come "Miglior componente aggiuntivo per la sicurezza"<ref>[http://browsers.about.com/od/allaboutwebbrowsers/a/bestsecurityff.htm About.com 2008 Best Security Add-On Award] {{Webarchive\|url=https://web.archive.org/web/20110323055756/http://browsers.about.com/od/allaboutwebbrowsers/a/bestsecurityff.htm \|date=23 marzo 2011 }} ''about.com''. Retrieved August 2, 2010.</ref>. * Nel 2010 NoScript è stato vincitore del "Reader's Choice Awards" nella categoria "Miglior componente aggiuntivo per la privacy/sicurezza" su About.com<ref>[http://browsers.about.com/od/allaboutwebbrowsers/ss/2010-readers-choice-awards-web-browsers-winners_5.htm Best Privacy/Security Add-On 2010] {{Webarchive\|url=https://web.archive.org/web/20100304054954/http://browsers.about.com/od/allaboutwebbrowsers/ss/2010-readers-choice-awards-web-browsers-winners_5.htm \|date=4 marzo 2010 }} ''about.com''. Retrieved August 2, 2010.</ref>. * Nel 2011, per il secondo anno consecutivo, NoScript è stato vincitore del "Reader's Choice Awards" nella categoria "Miglior componente aggiuntivo per la privacy/sicurezza" su About.com<ref>[http://browsers.about.com/od/allaboutwebbrowsers/ss/2011-Readers-Choice-Awards-Winners-Web-Browsers_6.htm Best Privacy/Security Add-On 2011] {{Webarchive\|url=https://web.archive.org/web/20110317064904/http://browsers.about.com/od/allaboutwebbrowsers/ss/2011-Readers-Choice-Awards-Winners-Web-Browsers_6.htm \|date=17 marzo 2011 }} ''about.com''. Retrieved March 20, 2011.</ref>. * NoScript è stato il vincitore del 2011 (prima edizione) del "Security Innovation Grant" del Dragon Research Group. Questo premio viene assegnato al progetto più innovativo nel campo della sicurezza informatica, come giudicato da un comitato indipendente<ref>[http://dragonresearchgroup.org/2011/07/18/ Security Innovation Grant Winner Announcement] {{Webarchive\|url=https://web.archive.org/web/20150212211829/http://dragonresearchgroup.org/2011/07/18/ \|date=12 febbraio 2015 }} ''Dragon Research Group''. Retrieved July 17, 2011.</ref>. == Controversie == === Conflitti con Adblock Plus e [[Ghostery]] === Nel maggio 2009 è stato riferito che una "guerra di estensione" era scoppiata tra lo sviluppatore di NoScript, Giorgio Maone, e gli sviluppatori dell'estensione di blocco degli annunci per Firefox [[Adblock Plus]] dopo che Maone aveva rilasciato una versione di NoScript che aggirava un blocco abilitato da un filtro AdBlock Plus<ref name="~~register_extension_wars~~register_extension_wars3">{{~~cite~~cita web\|~~last~~cognome=Goodin\|~~first~~nome=Dan\|~~title~~titolo=Firefox users caught in crossfire of warring add-ons\|url=http://theregister.co.uk/2009/05/04/firefox_extension_wars/\|~~work~~opera=The Register\|~~access-date~~accesso=19 ~~May~~maggio 2013}}</ref><ref name="ajaxian_extension_wars">{{~~cite~~cita web\|~~title~~titolo=Extension wars – NoScript vs. AdblockPlus\|url=http://ajaxian.com/archives/extension-wars-noscript-vs-adblockplus\|~~work~~opera=Ajaxian\|~~access-date~~accesso=19 ~~May~~maggio 2013}}</ref>. Il codice che implementa questa soluzione alternativa è stato "camuffato"<ref name="~~register_extension_wars2~~register_extension_wars3"~~>{{cite web\|last=Goodin\|first=Dan\|title=Firefox users caught in crossfire of warring add-ons\|url=http:~~/~~/theregister.co.uk/2009/05/04/firefox_extension_wars/\|work=The Register\|access-date=19 May 2013}}</ref~~> per evitare il rilevamento. Maone ha dichiarato di averlo implementato in risposta a un filtro che ha bloccato il suo sito web. Dopo le crescenti critiche e una dichiarazione da parte degli amministratori del sito Mozilla Add-ons secondo cui il sito avrebbe cambiato le sue linee guida riguardo alle modifiche dei componenti aggiuntivi<ref>{{~~cite~~cita web\|~~title~~titolo=No Surprises\|url=https://blog.mozilla.com/addons/2009/05/01/no-surprises/\|~~date~~data=1º maggio 2009~~-05-01~~}}</ref>, Maone ha rimosso il codice e ha rilasciato scuse ufficiali<ref name="register_extension_wars3"~~>{{cite web\|last=Goodin\|first=Dan\|title=Firefox users caught in crossfire of warring add-ons\|url=http:~~/~~/theregister.co.uk/2009/05/04/firefox_extension_wars/\|work=The Register\|access-date=19 May 2013}}</ref~~><ref>[https://hackademix.net/2009/05/04/dear-adblock-plus-and-noscript-users-dear-mozilla-community/ Dear Adblock Plus and NoScript Users, Dear Mozilla Community]</ref>. Immediatamente dopo l'incidente di Adblock Plus<ref name="purplebox">[https://purplebox.ghostery.com/?p=103180001 Attention all NoScript users]</ref>, è sorto un battibecco tra Maone e gli sviluppatori del componente aggiuntivo Ghostery dopo che Maone ha implementato una modifica sul suo sito Web che ha disabilitato la notifica utilizzata da Ghostery per segnalare il software di tracciamento web<ref>{{~~Cite~~Cita web\|url=http://yardley.ca/2009/05/04/when-blockers-block-the-blockers/\|~~title~~titolo=When blockers block the blockers\|~~archive-url~~urlarchivio=https://web.archive.org/web/20090508023124/http://yardley.ca/2009/05/04/when-blockers-block-the-blockers/\|~~archive-date~~dataarchivio=8 maggio 2009~~-05-08~~\|~~work~~opera=yardlay.ca\|~~author~~autore=Greg Yardley\|~~date~~data=4 maggio 2009~~-05-04~~}}</ref>. Questo è stato interpretato come un tentativo di "impedire a Ghostery di riferire su tracker e reti pubblicitarie sui siti web di NoScript". In risposta, Maone ha dichiarato che la modifica è stata apportata perché la notifica di Ghostery ha oscurato il pulsante di donazione sul sito NoScript<ref>[https://forums.informaction.com/viewtopic.php?p=3704#p3704 NoScript support forum] "Re: Latest NoScript version (1.9.2) breaks Adblock Plus", comment #3704, Giorgio Maone (2009-05-04)</ref>. Questo conflitto è stato risolto quando Maone ha modificato il [[CSS]] del suo sito per spostare, anziché disabilitare, la notifica di Ghostery<ref name="comment3935">[https://forums.informaction.com/viewtopic.php?p=3935#p3935 NoScript support forum] "Re: Additional steps to regain and retain user trust", comment #3935, Giorgio Maone (2009-05-06)</ref>. == Note == Riga 62 ⟶ 63: == Collegamenti esterni == * {{Collegamenti esterni}} * [https://noscript.net/ Sito ufficiale] * [https://noscript.net/faq FAQ sul sito ufficiale] * [https://addons.mozilla.org/en-US/firefox/addon/noscript/ Firefox Add-ons - NoScript Security Suite] * [https://forums.informaction.com/ Forum di supporto ufficiale] * [https://sites.google.com/site/guidanoscriptaddon/ Guida NoScript in italiano] {{Webarchive\|url=https://web.archive.org/web/20161008193157/https://sites.google.com/site/guidanoscriptaddon/ \|date=8 ottobre 2016 }} {{portale\|~~informatica\|Sicurezza~~sicurezza informatica\|software libero\|~~Telematica~~telematica}} [[Categoria:Tecniche di difesa informatica]]