NoScript:ホワイトリストに登録するサイト/スクリプトを決定する方法は?
NoScriptは、セキュリティと広告ブロックの両方にとって優れたプラグインです。ただし、不要なスクリプトをブロックしながら必要な機能を使用できるようにするために、特定のページでどのスクリプトを許可する必要があるかを理解するのは必ずしも容易ではないことがわかりました。多くの場合、アクセスしているサイトのドメインのスクリプトを有効にするだけでは十分ではありません。
たとえば、StackExchangeを最大限に使用するには、次のスクリプトを有効にする必要があります。
- stackexchange.com
- googleapis.com
- sstatic.net
これまでは、試行錯誤を繰り返すことでこれを見つけてきました。しかし、それはすべき方法とはまったく異なります。そのため、試行錯誤の段階で悪意のあるスクリプトや広告スクリプトを実行する可能性があり、回復不可能な損傷につながる可能性があります。
ほとんどの場合、この問題はWebサイトの特定の機能を使用したいが、スクリプトが別のドメインでホストされている場合に発生します。私は通常、domain.tld、domaincdn.tld、domain-images.tldなどの「通常の容疑者」を有効にすることから始めます。それでも、これは常に機能するとは限りません。そして、この問題の少し脇に、domain-images.tldがdomain.tldを実行している同じユーザーによって所有および制御されていることを確認する(WHOISクエリを実行し、それらの結果を信頼する以外に)直感的な方法はありません。そのスクリプトが実際に私が望むあらゆる機能を提供していること。
Webサイトの特定の機能を使用するためにホワイトリストに登録する必要があるドメイン/スクリプトを特定するために使用できる追加のプラグインまたは他の方法はありますか?好ましくは、この方法は、スクリプト言語の知識を必要としないか、ユーザーがサイトのソースコードを解釈する必要があるべきではありません。
「理想的な」ソリューションの私のコンセプトは、インタラクティブなページ要素(ボタン、ハイパーリンク、フラッシュオブジェクトなど)を右クリックして、その要素が機能を実行するためにホストスクリプトが必要とするサイトのリストを表示できるプラグインです。 。また、ページの何もない場所を右クリックして、ページのレイアウトとフォーマットに影響を与えるドメインホストスクリプトを確認することもできます。
この質問は今週のITセキュリティの質問でした。
詳細については、2011年9月2日ブログエントリをお読みください。または自分で送信今週の質問。
たとえば McAfeeのサイトアドバイザー のようなサイトアドバイザープラグインをインストールできます。これを行うことで、報告された悪意をドメインで簡単に検索できます。
たとえば、大新聞が追加情報を受け取っているドメインを検索します report back 一般的にOKと言いますが、コミュニティレポートは「アドウェア、スパイウェア、またはウイルス(1)」と言っています。
ドメインを検索して評価を取得するためのプラグインがさらに存在し、場合によってはさらに優れていると思います。
[〜#〜] edit [〜#〜]:このスニペットを追加したい NoScript's FAQ :
バージョン1.9.9.61から、NoScriptは「サイト情報」ページを提供し、NoScriptメニューに表示されるWebサイトの信頼性を評価するのに役立ちます。このサービスにアクセスするには、関連するメニュー項目を中クリックまたはShiftキーを押しながらクリックします。技術面に詳しい方で、許可する前にJavaScriptソースコードを調べたい場合は、JSViewを使用してください。
それで、もしあなたがそれを信頼するべきか、それともドメインを真ん中クリックしないのか知りたければ、次のサイトに情報を問い合わせます:
- WOTスコアカード
- McAfeeSiteAdvisor®
- ウェブマスターのヒントサイト情報
- Google-analytics.comのセーフブラウジング診断
[開示:私はこの回答で製品が議論されている会社の共同創設者です。]
これまでは、試行錯誤を繰り返すことでこれを見つけてきました。しかし、それは間違いなくすべき方法とは異なります。そのため、試行錯誤の段階で悪意のあるスクリプトや広告スクリプトを実行する可能性があり、回復不可能な損傷につながる可能性があります。
これは、ホワイトリストベースのセキュリティ製品の問題です。リストに追加するすべてのアイテムについて本当に確信が持てません。あなたはそれを試してみて、最高のものを期待しています。ドメインをホワイトリストに登録しても、そのドメインに新しいスクリプトを追加したり、既存のスクリプトを変更したりできます。完全に確認するには、実行前に各スクリプトを分析して、悪意のあるアクティビティを探す必要があります。各スクリプトを調べて、それが安全かどうかを判断できる汎用のスクリプト分析プログラムを作成することは不可能だと思います。
Webサイトの特定の機能を使用するためにホワイトリストに登録する必要があるドメイン/スクリプトを特定するために使用できる追加のプラグインまたはその他の方法はありますか?好ましくは、この方法は、スクリプト言語の知識を必要としないか、ユーザーがサイトのソースコードを解釈する必要があるべきではありません。
あなたが何を求めているのかは正確ではありませんが、私の会社はあなたの問題を解決する同様のセキュリティプラグインを構築しましたが、方法は異なります。ページに必要なすべてのスクリプトを実行しますが、使い捨てのクラウドサーバーで実行します。これにより、ユーザーはスクリプトをホワイトリストに登録したり、ローカルコンピュータでスクリプトを実行したりすることなく、Webサイトのすべての機能を利用できます。これにより、ユーザーはスクリプト言語を知ったり、サイトのソースコードを解釈する必要がなくなります。本質的に、スクリプトが良いか悪いかは問題ではありません。なぜなら、スクリプトをサーバーで実行することで、コンピューターに影響を与えることができないからです。
興味のある方は、 私たちのウェブサイト でもっと学ぶことができます。
「正しい」答えは、ウェブサイト自体がどのドメインがその直接制御下にあり、どのスクリプトがサードパーティのスクリプトであるかを宣言したHTMLへの拡張があるはずだと思います(たとえば、Stack Exchangeは、stackexchange.com、sstatic.netを宣言します。直接の管理下にあるように、googleapis.comは不可欠なサードパーティのサイトとして、その他は広告サイトとして)。
奇妙に思えるかもしれません-結局のところ、NoScriptの要点は、最初はサイトを信頼していないということですが、サイト自体からのスクリプトを許可する場合は、(たとえば)Stack Exchangeを信頼することにしました。信頼するすべてのドメインを指定したいだけです。
明らかに、サイトは嘘をつき、内部構造の一部として扱っているすべての広告サイトをリストすることができますが、NoScriptのUIは何をしているかを通知する必要があります。
ちなみに、HTMLへの拡張機能の提案は、問題に対する実際的な解決策とは言えません。