NoScript: differenze tra le versioni

'''NoScript''' (o '''NoScript Security Suite''') è una [[Plugin (informatica)|estensione]] [[Software libero|libera]] e [[opensource]] per il browser [[Firefox]] e altri basati su [[Mozilla]]. NoScript permette l'esecuzione di [[script]] [[JavaScript]], [[Java (linguaggio di programmazione)|Java]], [[Adobe Flash|Flash]] (obsoleto dal 31 dicembre 2020<ref name=":0">{{Cita web|url=https://web.archive.org/web/20171202123704/https://theblog.adobe.com/adobe-flash-update/#|titolo=Flash & The Future of Interactive Content {{!}} Adobe Blog|sito=web.archive.org|data=2 dicembre 2017-12-02|accesso=1º marzo 2021-03-01}}</ref>[[Adobe Flash|)]], [[Silverlight]] e altri plugin solo da quei siti internet scelti dall'utente e inseriti in una apposita ''Lista fidata''; questo fa aumentare la protezione contro molti attacchi informatici che sfruttano script malevoli per infettare il [[PC]]. È possibile permettere l'esecuzione completa di tutti gli script presenti su una determinata pagina, oppure consentirli temporaneamente mentre la si visita. Per gli script provenienti da domini di terze parti si può scegliere quali permettere e quali no selezionando il dominio di provenienza. NoScript fornisce anche una protezione anti-[[Cross-site scripting]] e anti-[[Clickjacking]]<ref name="chrome-announcement">{{citecita web|url=https://www.zdnet.com/google-amp/article/noscript-extension-officially-released-for-google-chrome/|titletitolo=NoScript Extension Officially Released for Google Chrome|publishereditore=[[ZDNet]]|access-dateaccesso=2019-04-12 aprile 2019}}</ref><ref name="noscript-developer">{{citecita web|url=https://addons.mozilla.org/en-US/firefox/addon/noscript/developers|titletitolo=Meet the NoScript Developer|publishereditore=Mozilla|access-dateaccesso=27 settembre 2011-09-27|url-status=dead|archive-urlurlarchivio=https://web.archive.org/web/20111009040345/https://addons.mozilla.org/en-US/firefox/addon/noscript/developers|archive-datedataarchivio=9 ottobre 2011-10-09}}</ref><ref name="mozilla-sec-group">{{citecita web|url=https://www.mozilla.org/projects/security/secgrouplist.html|titletitolo=Mozilla Security Group|publishereditore=[[Mozilla]]|access-dateaccesso=29 giugno 2011-06-29|url-status=dead|archive-urlurlarchivio=https://web.archive.org/web/20110629162354/http://www.mozilla.org/projects/security/secgrouplist.html|archive-datedataarchivio=June29 29,giugno 2011}}</ref>.

Nella configurazione predefinita, il contenuto attivo è globalmente negato, sebbene l'utente possa capovolgerlo e utilizzare NoScript per bloccare specifici contenuti indesiderati. L'elenco delle autorizzazioni può essere permanente o temporaneo (fino alla chiusura del browser o alla revoca delle autorizzazioni). Il contenuto attivo può essere costituito da [[JavaScript]], caratteri Web, codec multimediali, [[WebGL]] e [[Adobe Flash|Flash]] (obsoleto dal 31 dicembre 2020<ref name=":0" />). L'[[Plugin (informatica)|add-on]] offre anche contromisure specifiche contro gli exploit di sicurezza<ref name="about.com">{{citecita web|url=http://browsers.about.com/od/48/gr/noscript.htm|titletitolo=NoScript|authorautore=Scott Orgera|publishereditore=About.com|access-dateaccesso=2010-11-27 novembre 2010}}</ref>.

Poiché molti attacchi al browser Web richiedono contenuto attivo che il browser normalmente esegue senza dubbio, disabilitare tale contenuto per impostazione predefinita e utilizzarlo solo nella misura in cui è effettivamente necessario riduce le possibilità di sfruttamento della vulnerabilità. Inoltre, il mancato caricamento di questo contenuto consente di risparmiare una notevole larghezza di banda<ref>{{CiteCita web|titletitolo=The effect of Firefox addons on bandwidth consumption :: IANIX|url=https://ianix.com/pub/firefox-addons-and-bandwidth-consumption.html|access-dateaccesso=14 luglio 2020-07-14|websitesito=ianix.com}}</ref> e vanifica alcune forme di web tracking.

NoScript assume la forma di un'icona della barra degli strumenti o di un'icona della barra di stato in Firefox. Viene visualizzato su ogni sito Web per indicare se NoScript ha bloccato, consentito o parzialmente consentito l'esecuzione di script sulla pagina Web visualizzata. Facendo clic o passando il mouse (dalla versione 2.0.3rc1<ref>{{citecita web|titletitolo=NoScript Changelog 2.0.3rc1|url=https://noscript.net/changelog#2.0.3rc1|publishereditore=noscript.net|access-dateaccesso=16 Marchmarzo 2011}}</ref>) il cursore del mouse sull'icona NoScript dà all'utente la possibilità di consentire o vietare l'elaborazione dello script.

L'interfaccia di NoScript, accessibile facendo clic con il pulsante destro del mouse sulla pagina Web o sulla casella NoScript distintiva nella parte inferiore della pagina (per impostazione predefinita), mostra l'URL degli script che sono bloccati, ma non fornisce alcun tipo di riferimento per verificare se un determinato script è sicuro da eseguire<ref>{{citecita news|last1cognome1=Brinkman|first1nome1=Martin|titletitolo=The Firefox NoScript guide you have all been waiting for|url=http://www.ghacks.net/2014/02/10/firefox-noscript-guide-waiting/|websitesito=GHacks.net|access-dateaccesso=14 Januarygennaio 2017|datedata=February10 10,febbraio 2014}}</ref>. Con pagine web complesse, gli utenti possono trovarsi di fronte a ben più di una dozzina di URL criptici diversi e una pagina web non funzionante, con solo la possibilità di consentire lo script, bloccare lo script o consentirlo temporaneamente.

Il 14 novembre 2017, Giorgio Maone ha annunciato NoScript 10, che sarà "molto diverso" dalle versioni 5.x, e utilizzerà la tecnologia WebExtension, rendendolo compatibile con Firefox Quantum<ref>{{citecita web|url=https://hackademix.net/2017/11/14/double-noscript/|titletitolo=Double NoScript|authorautore=Giorgio Maone|datedata=14 novembre 2017-11-14|publishereditore=Hackademix.net|access-dateaccesso=15 novembre 2017-11-15}}</ref>. Il 20 novembre 2017, Maone ha rilasciato la versione 10.1.1 per Firefox 57 e versioni successive. NoScript è disponibile per Firefox per Android<ref>{{CiteCita web|url=https://github.com/hackademix/noscript/pull/28|titletitolo=Cosmetic Changes by Issa1553 · Pull Request #28 · hackademix/noscript|websitesito=GitHub|languagelingua=en|access-dateaccesso=4 gennaio 2019-01-04}}</ref>.

Ogni volta che un sito Web tenta di iniettare codice HTML o JavaScript all'interno di un sito diverso (una violazione della politica della stessa origine), NoScript filtra la richiesta dannosa, neutralizzandone il pericoloso [[carico utile]] (payload)<ref>[https://noscript.net/features#xss NoScript Features-Anti-XSS protection] ''NoScript.net''. Retrieved April 22, 2008.</ref>.

Funzionalità simili sono state adottate anni dopo da [[Internet Explorer|Microsoft Internet Explorer 8]] e da [[Google Chrome]].

Questo "firewall" è specializzato nella definizione e protezione dei confini di ogni applicazione web sensibile rilevante per l'utente (es. Plug-in, [[webmail]], [[Home banking|online banking]] e così via), secondo policy definite direttamente dall'utente, lo sviluppatore web / amministratore o una terza parte fidata<ref>{{citecita web|url=https://noscript.net/abe|titletitolo=Application Boundaries Enforcer (ABE)|authorautore=Giorgio Maone|publishereditore=NoScript.net|access-dateaccesso=2 agosto 2010-08-02}}</ref>. Nella sua configurazione predefinita, l'ABE di NoScript fornisce protezione contro CSRF e attacchi di rebinding DNS mirati alle risorse intranet, come router e applicazioni web sensibili<ref>{{citecita web|url=https://hackademix.net/2010/07/28/abe-patrols-the-routes-to-your-routers/|titletitolo=ABE Patrols Routes to Your Routers|authorautore=Giorgio Maone|datedata=28 luglio 2010-07-28|publishereditore=Hackademix.net|access-dateaccesso=2 agosto 2010-08-02}}</ref>.

La funzione ClearClick di NoScript, rilasciata l'8 ottobre 2008, impedisce agli utenti di fare clic su elementi di pagina invisibili o "corretti" di documenti o applet incorporati, annullando tutti i tipi di [[clickjacking]] (ad esempio, da frame e plug-in<ref>{{citecita web|url=https://hackademix.net/2008/10/08/hello-clearclick-goodbye-clickjacking/|titletitolo=Hello ClearClick, Goodbye Clickjacking|authorautore=Giorgio Maone|datedata=8 ottobre 2008-10-08|publishereditore=Hackademix.net|access-dateaccesso=27 ottobre 2008-10-27}}</ref>).

Questo rende NoScript "l'unico prodotto disponibile gratuitamente che offre un ragionevole grado di protezione" contro gli attacchi di [[clickjacking]]<ref name="Zalewski">{{citecita web|url=https://code.google.com/p/browsersec/wiki/Part2#Arbitrary_page_mashups_(UI_redressing)|titletitolo=Browser Security Handbook, Part 2, UI Redressing|authorautore=Michal Zalewski|datedata=2008-12-10 dicembre 2008|publishereditore=Google Inc.|access-dateaccesso=2008-10-27 ottobre 2008}}</ref>.

NoScript può forzare il browser a utilizzare sempre HTTPS quando stabilisce connessioni ad alcuni siti sensibili, al fine di prevenire attacchi [[Attacco man in the middle|man-in-the-middle]]. Questo comportamento può essere attivato dai siti Web stessi, inviando l' intestazione Strict Transport Security o configurato dagli utenti per quei siti Web che non supportano ancora Strict Transport Security<ref>[https://noscript.net/faq#https NoScript FAQ: HTTPS] ''NoScript.net''. Retrieved August 2, 2010.</ref>.

Le funzionalità di miglioramento HTTPS di NoScript sono state utilizzate dalla Electronic Frontier Foundation come base del suo componente aggiuntivo [[HTTPS Everywhere]]<ref>[{{cita web|url=https://eff.org/https-everywhere/ |titolo=HTTPS Everywhere] |lingua= |data= |accesso= }}</ref>.

* NoScript è stato il vincitore del 2011 (prima edizione) del "Security Innovation Grant" del Dragon Research Group. Questo premio viene assegnato al progetto più innovativo nel campo della sicurezza informatica, come giudicato da un comitato indipendente<ref>[http://dragonresearchgroup.org/2011/07/18/ Security Innovation Grant Winner Announcement] ''Dragon Research Group''. Retrieved July 17, 2011.</ref>.

Nel maggio 2009 è stato riferito che una "guerra di estensione" era scoppiata tra lo sviluppatore di NoScript, Giorgio Maone, e gli sviluppatori dell'estensione di blocco degli annunci per Firefox [[Adblock Plus]] dopo che Maone aveva rilasciato una versione di NoScript che aggirava un blocco abilitato da un filtro AdBlock Plus<ref name="register_extension_warsregister_extension_wars3">{{citecita web|lastcognome=Goodin|firstnome=Dan|titletitolo=Firefox users caught in crossfire of warring add-ons|url=http://theregister.co.uk/2009/05/04/firefox_extension_wars/|workopera=The Register|access-dateaccesso=19 Maymaggio 2013}}</ref><ref name="ajaxian_extension_wars">{{citecita web|titletitolo=Extension wars – NoScript vs. AdblockPlus|url=http://ajaxian.com/archives/extension-wars-noscript-vs-adblockplus|workopera=Ajaxian|access-dateaccesso=19 Maymaggio 2013}}</ref>. Il codice che implementa questa soluzione alternativa è stato "camuffato"<ref name="register_extension_wars2register_extension_wars3">{{cite web|last=Goodin|first=Dan|title=Firefox users caught in crossfire of warring add-ons|url=http://theregister.co.uk/2009/05/04/firefox_extension_wars/|work=The Register|access-date=19 May 2013}}</ref> per evitare il rilevamento. Maone ha dichiarato di averlo implementato in risposta a un filtro che ha bloccato il suo sito web. Dopo le crescenti critiche e una dichiarazione da parte degli amministratori del sito Mozilla Add-ons secondo cui il sito avrebbe cambiato le sue linee guida riguardo alle modifiche dei componenti aggiuntivi<ref>{{citecita web|titletitolo=No Surprises|url=https://blog.mozilla.com/addons/2009/05/01/no-surprises/|datedata=1º maggio 2009-05-01}}</ref>, Maone ha rimosso il codice e ha rilasciato scuse ufficiali<ref name="register_extension_wars3">{{cite web|last=Goodin|first=Dan|title=Firefox users caught in crossfire of warring add-ons|url=http://theregister.co.uk/2009/05/04/firefox_extension_wars/|work=The Register|access-date=19 May 2013}}</ref><ref>[https://hackademix.net/2009/05/04/dear-adblock-plus-and-noscript-users-dear-mozilla-community/ Dear Adblock Plus and NoScript Users, Dear Mozilla Community]</ref>.

Immediatamente dopo l'incidente di Adblock Plus<ref name="purplebox">[https://purplebox.ghostery.com/?p=103180001 Attention all NoScript users]</ref>, è sorto un battibecco tra Maone e gli sviluppatori del componente aggiuntivo Ghostery dopo che Maone ha implementato una modifica sul suo sito Web che ha disabilitato la notifica utilizzata da Ghostery per segnalare il software di tracciamento web<ref>{{CiteCita web|url=http://yardley.ca/2009/05/04/when-blockers-block-the-blockers/|titletitolo=When blockers block the blockers|archive-urlurlarchivio=https://web.archive.org/web/20090508023124/http://yardley.ca/2009/05/04/when-blockers-block-the-blockers/|archive-datedataarchivio=8 maggio 2009-05-08|workopera=yardlay.ca|authorautore=Greg Yardley|datedata=4 maggio 2009-05-04}}</ref>. Questo è stato interpretato come un tentativo di "impedire a Ghostery di riferire su tracker e reti pubblicitarie sui siti web di NoScript". In risposta, Maone ha dichiarato che la modifica è stata apportata perché la notifica di Ghostery ha oscurato il pulsante di donazione sul sito NoScript<ref>[https://forums.informaction.com/viewtopic.php?p=3704#p3704 NoScript support forum] "Re: Latest NoScript version (1.9.2) breaks Adblock Plus", comment #3704, Giorgio Maone (2009-05-04)</ref>. Questo conflitto è stato risolto quando Maone ha modificato il [[CSS]] del suo sito per spostare, anziché disabilitare, la notifica di Ghostery<ref name="comment3935">[https://forums.informaction.com/viewtopic.php?p=3935#p3935 NoScript support forum] "Re: Additional steps to regain and retain user trust", comment #3935, Giorgio Maone (2009-05-06)</ref>.

{{portale|informatica|Sicurezzasicurezza informatica|software libero|Telematicatelematica}}