jasper.jaklofsky.nl

firefox en multimediaal-internet blog

Veiliger surfen met de NoScript-extensie
maandag, 18 augustus 2008 16:47
noscript_xssproxy_thumb.pngBijna alle site's maken gebruik van javascript. Deze scriptjes worden via je browser op je pc geladen en daarna uitgevoerd. Ook mijn site maakt gebruik van Javascript. Bijvoorbeeld de menubalk bovenaan en bij een klik op een icon. Meestal is de bron van een script de site zelf. Betrouwbaar. Maar de bron kan ook een andere site zoals Google Analaytics zijn. Dan wordt de betrouwbaarheid al wat vager. Het laden van een script vanaf een ander bron, wordt Cross-site scripting (XSS) genoemd.

Het laatste nieuws is een Flash-lek dat je klembord overneemt. Ook dit soort misbruik kan je met NoScript voorkomen.

Omdat javascript gebruikt kan worden om je acties/statistieken bij te houden of om acties over internet uit te voeren, is een minder betrouwbaar script een beveiligingsgat. Er zijn zelfs plekken op het internet waar je pc (met windows) meteen gehacked wordt. Ja ze bestaan echt, ik heb een keer z'n patient gehad.


De Firefox extensie NoScript helpt je tegen, al dan niet kwaadaardige, scripts. Na de installatie en herstart, komt er bij elke pagina die javascript gebruikt een noscript-optiebalk onderin. Vanaf dit moment wordt geen enkel script meer uitgevoerd. Deze optiebalk geen mooie oplossing, maar je wordt er wel aan herinnert dat je NoScript geinstalleerd hebt. NoScript kan ook als icontje in de statusbar functioneren. Dit doe je door onder de knop optie =>optie... te selecteren. In het optie-window kies je dan het tabblad Waarschuwingen en Vink je Bericht over geblokkeerde script weergeven uit. Zorg er ook voor dat onder het tabblad Uiterlijk de optie Statusbalk pictogram aangevinkt is.
 

Finetunen van NoScript

Nu wordt ook het surfen even een lastigere klus. Want er wordt veel javascript gebruikt en dat wordt nu niet meer uitgevoerd. Maar geen nood. Je kan voor bekende betrouwbare sites een uitzondering maken. Dat doe je door op het icontje te klikken. Dan ontvouwt zich een menutje met de domein namen waarvandaan de scripts komen. Ja kan dan per domein bepalen of je de scripts (tijdelijk) toestaat.

Verbied plugins
Sinds half augustus is er een Flash-lek. Hierdoor wordt de inhoud van je klembord overgenomen. Om dit te voorkomen moet je onder te tab plugins Adobe Flash verbieden aanvinken. Als je er toch bent, is het verstanding om ook de andere plugins aan te vinken. Zo wordt je in de toekomst beter beschermd tegen nieuwe lekken.

Je kan dit test op de url http://raffon.net/research/flash/cb/test.html . Als je deze site open laat en flash toelaat, kan je alleen maar http://www.evil.com plakken. Sluit je je browser, dan krijg je weer controle over je klembord.

 

Update 21-11-2009: Adobe fixt klembord-malware in Flash Player 10

 noscript plugin opties

FlashVideo-site's

Ook in Flash zit scripting of communiceerd met een script, dus dat wordt ook geblokkeeerd. Zo ook een FlashVideo-player. Er verschijnt op de plek van de player een NoScript-box. Kom je even snel op een site kijken, kan je hierop klikken en snel de video afspelen. Kan je vaker op die site, denk aan YouTube of msn-video, kan je beter een uitzondering toevoegen. Dan verchijnt elke keer de video i.p.v. de NoScript-box.

Het is even wennen om noscript in te stellen, maar het maakt je robuster tegen hackers en andere kwaadaardige sites. Er is zelfs een gerucht dat deze extensie een onderdeel van Firefox wordt: http://www.security.nl/article/19262/1
Del.icio.us! Google! StumbleUpon! Yahoo!
Extensies Firefox Veilig surfen
 

video player

Abonneer op rss