NoScript : el complemento imprescindible que lleva 10 años cuidándote

[h]NoScript : el complemento imprescindible que lleva 10 años cuidándote[/h]

https://www.wifi-libre.com/img/members/3/noscript_1.png

NoScript es un complemento diseñado para firefox.
Un complemento a parte… personalmente me parece que la palabra “complemento” no es la mas indicada para hablar de NoScript
Habría que inventar otra… como un “impredeciblemento”
Si tendría que quedarme con un solo complemento (en una isla desierta ) en mi firefox, sería este.

El mismísimo Edward SNOWDEN lo recomienda para defenderse contra el espionaje de estado (ver Snowden at SXSW: We need better encryption to save us from the surveillance state de Darlene STORM @ Computerworld):
https://www.wifi-libre.com/img/members/3/noscript_2.jpg

NoScript esta incluido “por defecto” en el navegador TOR (basado en firefox) que tenemos en la distribución GNU-Linux Tail, la distribución por excelencia si hablamos de seguridad “defensiva” y privacidad

Como su nombre lo indica, NoScript permite bloquear (y gestionar las exclusiones) toda la basura que nos comemos a diario navegando por la web.
Desde los anuncios molestos hasta cosas francamente malignas.
Con un efecto “colateral” positivo; NoScript mejora también la navegación en muchas paginas ya que toman menos tiempo en cargarse una vez que se bloquean las partes inútiles.

NoScript esta en su décimo año de existencia…
La mejor forma de celebrar dignamente este cumpleaños es instalarse NoScript :
[list=*]
]Instalar NoScript desde la pagina oficial : noscript.net /]
[/list]

Demostración
Voy a mirar un capitulo de south park en un sitio cualquiera, el primero que me sale en google…

[h]Esto es lo que pasa
**SiN ** NoScript[/h]

https://www.wifi-libre.com/img/members/3/noscript_3.jpg

Para llegar al capitulo hay que ir un poco mas abajo y hacer clic en el símbolo play de la pantalla negra que podéis ver justo abajo
Un par de veces porque el primer play abre otra pop-up

[h]Ahora lo que pasa…
CON NoScript[/h]

https://www.wifi-libre.com/img/members/3/noscript_6.jpg

Esta vez solo hace falta hacer clic una vez en el símbolo que podéis ver parcialmente justo bajo en la pantalla negra
51 scripts bloqueados en esta pagina
Llego directo a la pagina que me interesa…
…pero no script bloquea todo por defecto y no puedo ver el capitulo o el símbolo play para lanzar la video :
https://www.wifi-libre.com/img/members/3/noscript_4.jpg
No hay problemas : Con un simple clic podría autorizar de forma temporal los scripts en la pagina y acceder al vídeo o bien solo autorizar el reproductor (en este caso videomega)
Yaa esta… puedo ver el vídeo haciendo clic en play.
https://www.wifi-libre.com/img/members/3/noscript_5.jpg

NoScript es muy fácil de usar : podemos fácilmente autorizar de forma permanente o temporal unos elementos o un sitio y muy rápido tenemos el complemento configurado a ,medida y nos olvidamos de el…
Nos protege de forma radical contra el seguimiento.
Contra estos malwares/spyware/ransomwares/viruses etc… que se esconden en “anuncios”, banners ficticios, alertas falsas.
Impide que se abren “pop-up” (ventanas emergentes) dónde un tío te explica gritando como hacerte rico en unos instantes con su método revolucionario.
Se navega mas rápido y de forma mas segura… es solo cuestión de acostumbrase un poco a tenerlo.
Y veréis que es además muy instructivo y divertido ver lo que pasa en algunas paginas echándole un ojo a la lista de elementos bloqueados…

10 años que NoScript esta mantenido…
… todo gratis, todo para ti y por ti…
[h]
¡Venga! ¡Instálalo![/h]

[list=*]
]NoScript.net/]
[/list]

yo hacer tiempo que los tengo, es un complemento que evita muchas mierda de la pagina, evitando que se te ejecute codigo de javascript con pagina que no conoce, esta fuer la razon real por la que yo no quería desactiva el Noscript en la web de lampi con el tema de AdBLOCK que te obligaba desactiva tambien el NoScript, obligando a usuario a imponer su voluntad sobre los que quiere ver o no.

No script (u otra solución parecida) es a mi gusto simplemente… impredecible.
Adblock tiene la ventaja de no necesitar intervenciones del usuario.
No script te obliga a permitir unos elementos de vez en cuando (por ejemplo para ver un videó flash en un foro) pero tienes un nivel de control sobre los contenidos que merece algunos esfuerzos.
Y se aprende mucho sobre las paginas que visitas…
No es para nada que no script viene instalado y habilitado por defecto en el navegador web de Tail (live enfocada a seguridad “no ofensiva”)

a principio cuesta un poco acostumbrase a recordar en activa o desactiva el noscript en determinada pagina, que no te dar confianza o sencillamente cuando esta navegando.

yo poco a poco el adblock pus ya no los voy utilizando ahora utilizo otros de software libre llamado uBlock es muy ligero y no retaliza la carga de la pagina.
te permite aplicar tu propio filtro y crear tambien tu lista. es bastante sencillo de configura todos por defecto ya bloquear una gran cantidad de publicidad a momento de instalarlo.

No conozco Ublock … Una cosa más por probar

Un poco de “re-post” para hablaros de un “paper” de MAZIN Ahmed publicado ayer.
[list=*]
]Bypassing NoScript Security Suite Using Cross - Site Scripting and MITM Attacks/]
[/list]
El documento plantea varios métodos para burlar Noscript y da también soluciones para que esto no pase.

El primer método evocado es usar la detección de bug de Noscript.
Estas vulnerabilidades están corregidas en varias actualizaciones.
La solución es simple : Bien actualizar NoScript

El segundo método consiste en usar una vulnerabilidad en uno de los sitios puestos en lista blanca con unas “secuencias de órdenes en sitios cruzados” (XSS)
A pesar de que Noscript lleva unos filtros contra este tipo de amenazas, no es sufciente.
El autor ilustra su teoría con hechos y podemos ver en esta captura de pantalla como usa una brecha en un sitio de microsoft (presente en lista blanca).
Consigue “burlar” Noscript y ejecutar código javascript en la pagina “live” de microsoft :
https://www.wifi-libre.com/img/members/3/Noscript_xss_1.jpg
Seguridad/privacidad son antónimos de Microsoft y el primer consejo de seguridad sería nunca jamás visitar o confiar en Micorsoft…
La solución es : bien mirar lo que hay en la lista blanca. y borrar las entradas innecesarias
Que sea con noscript o con adblock soy partidario de vaciarla/desactivar la lista blanca desde el primer momento.
Luego se irá permitiendo los sitios que queramos…

El tercer método es un **MITM ** factible con los sitios http (sin s) y usando la whitelist.
Es un escenario que requiere que nuestra red sea ya comprometida y que tengamos un intruso capaz de inyectar un payload en las repuestas que obtenemos desde un sitio http puesto en lista blanca.
Son muchos “si” pero es mejor imaginar los escenarios lo más rebuscados para prevenir cualquier riesgo
El autor a creado un código POC, un pequeño exploit, basado en BetterCap : HackNoScript
Lo podemos ver en acción en la captura de pantalla siguiente :
https://www.wifi-libre.com/img/members/3/Noscript_xss_2.jpg

Otra vez la solución consiste en bien controlar lo que hay en nuestra whitelist (no te compliques la vida y borra lo todo )
Además podemos (deberíamos) prohibir cualquier contenido javascript, java etc… desde los sitios http (sin “s”)
Así :
https://www.wifi-libre.com/img/members/3/Noscript_xss_3.jpg

Notad que si usas Tail y su navegador TOR no tenéis que hacer nada ya que viene con una configuración segura por defecto.

¡Larga vida a Noscript y gracias a Hamed por su trabajo para que seamos tod@s mejor protegid@s!

[h]La versión 10 de NO script está casi lista y se anuncian grandes cambios[/h]
10 años (ahora más); versión 10.
Para los aficionados a la numerologia las señales son buenas.
En todos casos se ve que no será una versión como las otras porque saltamos directo de la versión 5 a la versión 10
El lanzamiento del nuevo NO script se atrasa un poco (incidentes técnicos) pero merecerá la pena.
Podéis ver aquí un screenshot del nuevo N0 script.
https://hackademix.net/wp-content/uploads/2017/11/noscript10-options.png
Lo que me llama la atención es que se habla de buenas mejoras en el bloqueo interactivo de elementos y también el hecho de que será una “pure extension” con mejoras del rendimiento.
Mientras esperáis a esta prometedora entrega podéis pasar el tiempo leyendo la nota de su creador: double noscript

parece que con la nueva version de firefox version 57.0 no soporta de momento el noscript.
actualizarse el firefox a esta nueva version el noscript evitaba no iniciar el firefox se quedaba residente en memoria pero no iniciaba.

esperemos que tengamos pronto el soporte de noscript porque no aparece en los resultado de busqueda de complemente de firefox no esta disponible.

Está en ello, a mi se me ha automáticamente “desactivado” y como dices de momento no hay versión compatible disponible. Uso firefox ESR de momento, en esta sigue rulando.

si intalais este addon desabilitara el chekeo de compatibilidad de firefox y podreis usar todos los addons que querais,
https://addons.mozilla.org/es/firefox/addon/checkcompatibility/

tambien se puede hacer a manopla sin instalar nada escribiendo estas lineas en el archivo prefs.js del navegador,

user_pref("extensions.check-compatibility.app-version", "44.8.0");
user_pref("extensions.check-compatibility.saved.44.8", true);
user_pref("extensions.check-compatibility.saved.nightly", true);
user_pref("extensions.checkCompatibility.44.8", false);
user_pref("extensions.checkCompatibility.nightly", false);

la version del navegador debe coincidir con la numeracion de las lineas si no a mano no sirve, la version del ejemplo es la 44.8.0

Ya funciona en Firefox Quantum (sin hacer nada).
La versión 10 está de lujo: La interfaz es más directa y permite hacer más cosas.
Podemos muy fácilmente y muy rápido atribuir una categoría general (seguro, por defecto, inseguro y personalizada)
https://www.wifi-libre.com/img/members/3/noscript10.jpg
podemos forzar el https con el cerrojo en verden (como un htpps everywhere integrado) )
Y haciendo clic en el sitio que interesa tenemos a opciones para personalizar la configuración para un sitio.
https://www.wifi-libre.com/img/members/3/noscript10_2.jpg
Y luego la whitelist está hecho del mismo modo.
Se gana tiempo para configurar todo y la interfaz es más sencilla y más agradable .
Con el Firefox Quantum que va sobre seda, la asociación “firefox quantum + No scrit 10” es la re-leche.

si ya funciona, me gusta muchos la nueva interfaz, pero no me gusta que en alguna pagina se activer cierta opciones de javacript. o esto es de la lista blanca.

la verdad que firefox de esta version vuela vaya que si se nota la velocidad yo ya es echo varia donaciones porque se los meece igual que a no-script creo que hay que apoya este tipo de iniciativa para seguir apoyando y motivandole