В статье под названием «iPhone, IE, Firefox, Safari попадаются на хакерском конкурсе» на сайте The Register обсуждается возможность использования Firefox.
Интересно, защищает ли NoScript от написанных подвигов; или можно ли использовать браузер независимо от загрузки расширения.
Есть мнения? Может сделать это вики-сообществом, учитывая, что это не просто сообщение о проблеме / решении.
На сайте нет подробной информации о том, какие именно эксплойты использовались, поэтому невозможно сказать, были бы они сорваны NoScript.
NoScript блокирует выполнение всех сценариев JavaScript и сторонних сценариев (например, flash/sliverlight), поэтому в значительной степени оставляет вам только базовый HTML. Хотя, безусловно, возможно, что ошибка рендеринга в браузере может выявить уязвимость в чистом HTML, гораздо менее вероятно, так как никакой код не выполняется специально так же, как с движком JavaScript. Поверхность, на которую можно атаковать, значительно уменьшена, поэтому вероятность нахождения успешной атаки ниже.
Конечно, нужно учитывать и то, что атака может быть нацелена на сам NoScript. Конечно, есть вероятность, что в NoScript есть ошибки, которые позволяют выполнять удаленный код.
Наконец, вам нужно учитывать действия пользователя. Насколько строго пользователи проверяют надежность сайта, прежде чем занести его в белый список. Выполняете ли вы детальный анализ кода сайта и всех его сценариев перед тем, как внести его в белый список, или просто нажимаете кнопку "Разрешить", когда видите "Этот сайт требует JavaScript". Я подозреваю, что, вероятно, нетрудно заставить большинство пользователей внести в белый список ваш сайт, потому что, как только они это сделают, они снова подвергают себя множеству таких атак.
Я быстро взглянул на рекомендации по безопасности для Firefox 3.6. Хотя я мог пропустить некоторые, 6 из 13 рекомендаций на этой странице можно было бы избежать, отключив JavaScript. Кроме того, один из оставшихся зависит от загружаемых шрифтов, которые NoScript также блокирует по умолчанию (это опция «Forbid @ font-face» в диалоговом окне конфигурации).
В другой раз, когда я смотрел на это, это было примерно в той же пропорции: около 50% уязвимостей в Firefox зависели от JavaScript.
Отключение JavaScript также может усложнить использование других уязвимостей, поскольку злоумышленник должен создать атаку, для которой не требуется JavaScript. Также вполне вероятно, что злоумышленнику будет просто наплевать и использовать JavaScript, даже если он не нужен; в конце концов, люди, которые используют NoScript, как правило, относятся к типу, ориентированному на безопасность, и обновляют браузер, как только объявляется об уязвимости безопасности.
И, наконец, с помощью NoScript вы можете разрешить JavaScript с веб-сайта, сохраняя отключенные скрипты из других доменов, включенных в него. Сюда входят сторонние рекламные серверы, сторонний код отслеживания и использование JavaScript в скрытом iframe внизу страницы, который поступает из другого домена (последний часто используется для взломанных сайтов).
