NoScript

NoScript
NoScript
NoScript Logo.png
Développeur InformAction, Giorgio Maone
Dernière version 2.1.4 (28 septembre 2011) [+/-]
Environnement Windows, Linux, Mac OS X
Langue 44 langues
Type Extension pour logiciels Mozilla
Licence GPL
Site web noscript.net

Pour la balise HTML <noscript>, voir cet article.

NoScript est une extension libre et open source pour Mozilla Firefox, SeaMonkey, Flock et autres navigateurs basés sur Mozilla. NoScript permet de bloquer les scripts Javascript, Java, Flash et autres plugins des sites qui ne font pas partie de la liste blanche définie par l'utilisateur[1].

Sommaire

Fonctionnement

Sécurité et utilisation

Utiliser NoScript est relativement simple. Après l'installation, JavaScript, Java, Flash, Silverlight et les autres contenus exécutables sont par défaut bloqués dans le navigateur[2]. Ensuite, l'utilisateur peut explicitement permettre à ce type de contenu de s'exécuter, éventuellement de manière temporaire. Par rapport à une liste noire, le fonctionnement avec une liste blanche permet une défense plus efficace contre les exploitations des failles de sécurités.

NoScript se présente dans Firefox sous la forme d'un bouton discret dans la barre d'état, qui permet d'ouvrir un menu afin de configurer NoScript. L'utilisateur peut aussi afficher une barre d'outils. Lorsqu'un script est bloqué, une notification semblable à celle annonçant une pop up apparaît, autorisant l'utilisateur à maintenir le blocage ou à autoriser le script[3].

Fonctionnement de la liste blanche

La liste blanche est l'inventaire des sites dont les scripts sont autorisés. Un site faisant partie de la liste blanche a la permission d'utiliser tous les protocoles. L'utilisateur peut autoriser une adresse exacte, ce qui autorise implicitement tous les sous répertoires, et autoriser un nom de domaine, ce qui a pour effet d'autoriser les pages appartenant à ce domaine ainsi qu'à tous les sous domaines[4].

Les premières versions de NoScript bloquaient par défaut seulement le Javascript et le Java. Dans la dernière version, le Flash et autres plugins le sont aussi, afin d'éviter les attaques XSS basés sur Flash ainsi que l'exploitation des failles de différents plugins[5].

Liste noire

NoScript possède aussi un système de liste noire. Les sites présents dans la liste noire voient leur contenu bloqué au même titre qu'un site inconnu. En revanche, le blocage n'est pas notifié à l'utilisateur à chaque fois qu'un script tente de s'exécuter. Cette fonctionnalité est donc particulièrement utile en ce qui concerne les sites auxquels l'utilisateur est souvent confronté[6].

Protection contre XSS

NoScript contre les failles XSS basées sur le DOM ainsi que les attaques XSS dirigées vers des sites appartenant à la liste blanche. Lorsque qu'un tel cas de figure se présente, l'utilisateur en est averti et peut éventuellement choisir de bloquer la requête soupçonnée d'être malicieuse. Les requêtes dont l'origine et la destination sont des sites de la liste blanche sont aussi filtrées[7].

Accueil

NoScript a été classé parmi les 100 meilleurs produits de 2006 par PC World[8]. Le principe de blocage par défaut et ses mises à jour fréquentes lui ont donné une réputation de sûreté : son utilisation a été qualifié de pratique sûre de navigation sur Internet par le United_States_Computer_Emergency_Readiness_Team[9]. Cependant, inscrire les sites dans la liste blanche peut s'avérer fastidieux pour un utilisateur classique, et les alertes de sécurités pénibles[10].

Par ailleurs, NoScript possède une liste blanche par défaut [11], en partie responsable d'un conflit avec Adblock Plus[12] : l'auteur de NoScript avait empêché Adblock Plus de fonctionner sur son propre site, afin de permettre l'affichage des publicités. Il est revenu sur cette décision et s'est publiquement excusé le 5 avril 2009[13].

Références

  1. (en) NoScript What is it? NoScript.net. Consulté le 11 août 2009
  2. (en) http://noscript.net/features NoScript.net
  3. (en) http://noscript.net/features#basics NoScript.net. Consulté le 11 août 2009
  4. (en) http://noscript.net/features#sitematching NoScript.net. Consulté le 11 août 2009
  5. (en) http://noscript.net/features#contentblocking NoScript.net. Consulté le 11 août 2009
  6. (en) http://noscript.net/features#blacklist NoScript.net. Consulté le 11 août 2009
  7. (en) http://noscript.net/features#xss NoScript.net. Consulté le 11 août 2009
  8. PC World Award pcworld.com. Consulté le 11 août 2009
  9. Securing Your Web Browser: NoScript, CERT
  10. (en) Peter Smith, « Top 10 Firefox extensions to avoid », Computerworld. Mis en ligne le 17 avril 2007, consulté le 11 août 2009
  11. (en)Georgio Maone, « Q: What websites are in the default whitelist and why? » sur FAQ du site officiel de NoScript. Consulté le 11 août 2009
  12. (en) Wladimir Palant, « Attention NoScript users first », 1er mai 2005. Consulté le 11 août 2009
  13. (en)Georgio Maone, « Dear Adblock Plus and NoScript Users, Dear Mozilla Community » sur Hackademix.net. Consulté le 25 août 2011

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article NoScript de Wikipédia en français (auteurs)

Игры ⚽ Нужен реферат?

Regardez d'autres dictionnaires:

  • NoScript — Тип Расширение (Mozilla) Разработчик Giorgio Maone Операционная система Кроссплатформенное Последняя версия 2.5.3 (27 августа 2012) …   Википедия

  • NoScript — es una extensión libre y de fuente abierta para Mozilla Firefox, SeaMonkey, Flock y navegadores web basados en Mozilla. NoScript bloquea la ejecución de Javascript, Java, Flash, Silverlight, y otros plugins y contenidos de scripts. Noscript tiene …   Wikipedia Español

  • NoScript — Entwickler Giorgio Maone Aktuelle Version 2.1.5 (17. Oktober 2011) Kategorie …   Deutsch Wikipedia

  • NoScript — For the <noscript> HTML element, see HTML element#Other block elements. NoScript Developer(s) Giorgio Maone Stable release 2.1.8 / October 28, 2011; 10 days ago …   Wikipedia

  • Adblock Plus — Adblock Plus …   Википедия

  • Cross-site scripting — (XSS) is a type of computer security vulnerability typically found in Web applications that enables attackers to inject client side script into Web pages viewed by other users. A cross site scripting vulnerability may be used by attackers to… …   Wikipedia

  • Clickjacking — is a malicious technique of tricking Web users into revealing confidential information or taking control of their computer while clicking on seemingly innocuous web pages.[1][2][3][4] A vulnerability across a variety of browsers and platforms, a… …   Wikipedia

  • Cross-site scripting — Le cross site scripting, abrégé XSS, est un type de faille de sécurité des sites Web, que l on trouve typiquement dans les applications Web qui peuvent être utilisées par un attaquant pour provoquer un comportement du site Web différent de celui… …   Wikipédia en Français

  • HTML 5 — ist die noch nicht erschienene Weiterentwicklung der Auszeichnungssprache HTML (aktuell: Version 4.01). Inhaltsverzeichnis 1 Entstehung 2 Ziele 3 Aufbau 3.1 HTML 5 3.2 XHTML 5 3 …   Deutsch Wikipedia

  • Balise HTML — Élément HTML Demande de traduction HTML element → …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”