NoScript для Firefox — настройка
Одной из основных причин, по которой я использую на своем компьютере браузер Firefox, а не какой-либо другой, является расширение NoScript, которое доступно только для этого браузера.
NoScript, как следует из его названия, блокирует скрипты и не дает им запуститься автоматически на большинстве сайтов. Это значительно повышает безопасность, так как большинство атак производимых с сайтов для достижения результата используют именно скрипты. Также расширение улучшает время загрузки страницы, ведь когда NoScript включен, требуется загружать намного меньше контента.
Недостатком является то, что функционал некоторых сайтов может перестать работать. Так как скрипты блокируются по умолчанию, сайт может вообще перестать работать, или работать частично с установленным NoScript .
Расширение предлагает дополнительные настройки для решения этих вопросов. Вы можете разрешить запускать скрипты временно или постоянно на определенных сайтах.
Другой проблемой является то, что скрипты блокируются на уровне домена. Большинство веб-сайтов загружает скрипты из различных источников. Первыми идут скрипты собственного домена, а затем скрипты импортируются со сторонних серверов, например, для отображения рекламы, для сбора информации, и даже для использования размещенной на сервере версии jquery.
Очень часто трудно определить, какие именно скрипты необходимы для базовой функциональности сайта, а какие – нет. Особенно трудно придется пользователям Интернета, у которых мало опыта в доменах, веб-сайт технологиях и скриптах.
Настройка NoScript
NoScript поставляется в довольно удачной конфигурации. Вы можете использовать его без изменений, но если вы хотите получить максимальную отдачу от этого аддона, то вам стоить пройтись по настройкам, хотя бы один раз, чтобы убедиться, что все настроено именно так, как вам нужно.
Как я упоминал уже ранее, NoScript блокирует выполнение скриптов на большинстве сайтов по умолчанию. Расширение поставляется с белым списком доменов, это означает, что сайты, которые размещены в этом списке, могут без препятствий загружать скрипты, которые размещены на их собственном домене.
Подсказка: NoScript различает корневые домены и поддомены. Такие домены, как addons.mozilla.org и mozilla.org обрабатываются расширением, как различные.
Среди белого списка доменов можно найти: addons.mozilla.org, google.com, googleapis.com, live.com, hotmail.com, outlook.com и paypal.com.
Вы можете удалить любой домен из белого списка в настройках NoScript.
Я рекомендую удалить домены, которые вы не хотите видеть в белом списке. Также я рекомендую оставить внутренние страницы Firefox в списке, в противном случае вы рискуете столкнуться с проблемами.
Вы также можете импортировать или экспортировать выбранные домены. Это бывает полезным, если вы используете Firefox на нескольких устройствах и хотите иметь одинаковый белый список.
Второе изменение в конфигурации, которое вы можете сделать, касается иконки NoScript. Вы можете поместить ее в такое место, к которому у вас будет легкий доступ.
Я поместил свою иконку на панель аддонов, но после того как панель удалили из Firefox Australis (version 29), вы можете поместить иконку на главной панели инструментов браузера.
Другой вариант, который у вас есть, это использовать контекстное меню. NoScript добавляет пункт в контекстное меню Firefox, появляющееся при нажатии правой кнопки мыши, который можно использовать для запрета и разрешения сайтов, а также для открытия дополнительных возможностей расширения.
Если вы используете иконку, вы также можете использовать несколько полезных функций, встроенных разработчиком в расширение. Чтобы разрешить все скрипты на текущем сайте, нажмите средней кнопкой мыши по иконке. Кроме того вы можете настроить левую кнопку мыши для блокирования или разрешения сайта верхнего уровня в соответствии с настройками в «General».
Вы можете заметить, что сообщение о заблокированных скриптах отображается на экране в уведомлениях. Это может быть полезно, особенно если вы используете исключительно контекстное меню, но если вы используете иконку, она сама даст вам знать о всех происходящих событиях.
Я предпочитаю удалять уведомления, так как они блокируют часть экрана, при этом, не говоря мне ничего, чего я еще не знаю.
Вы можете отключить уведомления в опциях расширения.
Вместо отображения сообщения, вы можете активировать аудио-сигнал. Я не рекомендую вам этого делать, особенно если вы загружаете множество сайтов во время работы.
Давайте вернемся к списку NoScript, который отображается при нажатии на левую или правую кнопку мыши на иконке.
Меню отображает все скрипты, которые пытается загрузить сайт. Корневой домен всегда находится в начале списка, в то время как другие домены вынесены в его конец.
Совет: Для обеспечения полной функциональности сайта, как правило, достаточно разрешить корневой домен. Я рекомендую вам, для начала, загружать сайты без использования белого списка, чтобы увидеть работает ли сайт при настройках по умолчанию или нет. Если нет, то, скорее всего, для нормального функционирования сайту нужно загрузить скрипт. Существуют исключения из этого правила. Вы можете заметить, что некоторые сайты используют сети доставки контента, которые вам необходимо одобрить, а также некоторые сайты могут загружать библиотеки из сторонних сайтов, вроде jquery.
Вы можете нажать среднюю кнопку мыши на любом домене для запуска проверки безопасности. Когда вы нажмете на среднюю кнопку, вы попадете на страницу сайта NoScript, которая связана с несколькими популярными сервисами обеспечения безопасности, такими как Web of Trust, McAfee Site Advisor и hpHost.
Используйте эти сервисы, чтобы проверить домен, прежде чем разрешить загрузку скриптов. В качестве альтернативы вы можете использовать ручную проверку на сервисе Virustotal.
Совет: щелкните правой кнопкой мыши на любое доменное имя, чтобы скопировать его в буфер обмена.
Копаем глубже
Давайте капнем немного глубже. NoScript предлагает пользователям больше чем просто блокирование скриптов. Он может быть использован для обработки внедренного контента.
Подобного рода контент блокирован по умолчанию для сайтов не находящихся в белом списке, но не блокирован для сайтов временно или постоянно находящихся в нем.
Это означает, что содержимое вроде Java, Flash, Silverlight и других плагинов будет загружаться на сайтах из белого списка по умолчанию. Если вы не хотите чтобы это произошло, вы должны произвести следующее изменение конфигурации NoScript во вкладке Настройка > Встроенные объекты .
Вот пример, где это может быть полезно. Предположим, что вам необходимо поместить сайт в белый список, чтобы иметь доступ ко всей его функциональности. Помещая его в белый список, вы можете нечаянно также позволить проигрывать Flash-рекламу, видео и другой контент, который требует использования плагинов.
Конечно, имеет смысл так поступить с разрешением контента для сайтов из белого списка, таких как YouTube, ведь вы посещаете его именно из-за видео. Однако если вы примените ограничения для сайтов из белого списка, это улучшит безопасность и конфиденциальность вашего компьютера.
Это означает большее количество щелчков мыши для разрешения контента, но это честный обмен на безопасность.
Если вы активируете данную функцию, каждый раз при нажатии на заблокированное содержимое вы будете получать сообщение с подтверждением. Вы можете отключить его, отключив опцию «Ask for confirmation before temporarily unblocking an object».
Примечание: вы можете настроить запрещенные предметы на той же странице. Теоретически возможно сделать так, чтобы в одно и то же время часть контента была доступна, а часть заблокирована. Одним из возможных вариантов является разрешение Flash и запрет всего остального.
Дополнительные опции
С первого взгляда, расширенные опции могут выглядеть пугающе, так как вы встретите множество технических терминов, таких как XSLT, XSS, ABE. Здесь даже упоминается пинг!
По правде говоря, все эти опции лучше оставить в покое, конечно если только вам не требуются специфические особенности.
Здесь есть одна особенность, которая может представлять интерес – это защита cookies. Вы можете настроить NoScript так, чтобы он предоставлял шифрование для cookies установленное через HTTPS для определенных сайтов.
Некоторые веб-сервисы настраивают cookies через защищенное соединение, но не маркируют эти cookies как защищенные. В результате, запрос на эти cookies с того же домена окажется успешным даже если он пришел с не HTTPS страницы.
Однако вы можете столкнуться с проблемами на некоторых сайтах и не сможете больше залогиниться на этих сайтах или будете автоматически разлогиниваться при переключении страниц.
Вы найдете информацию об этих проблемах в веб-консоли Firefox, которая появляется после нажатия Ctrl-Shift-i. Используйте полученную информацию для добавления исключений в правило.
Есть и другие функции, на которые стоит обратить внимание. Это запрет букмарклетов на ненадежных сайтах, разрешение локальных ссылок для доверенных сайтов, а также запрет попыток исправления JavaScript ссылок.
Александр Ануфриев, журналист, в свободное время любит работать с компьютерами, уделяя особое внимание браузерам.
Страница автора — ВКонтакте
Источник
NoScript настройки расширения
На самом деле настраивать NoScript и работать с ним ни чуть не сложнее, чем настраивать 
любой программный Firewall (фаервол) в режиме обучения. Главное понять как это работает
Наводим курсор на значок NS 
в панели расширений — подымается окно-меню со списком доменов и блокировок — нажимаем на
Галочки должны стоять на:
в этом положении, чтобы изменения разрешений на странице вступили в силу иногда требуется щелчок по панели расширений рядом с значком NS. Требуется это, если по каким-то причинам страница не перезагрузилась сама с новыми настройками, или когда дается глобальное разрешение временного характера
Список сайтов или ай-пи адресов с полными разрешениями. Лучше самостоятельно не добавлять адреса вручную, а пользоваться полным разрешением прямо на странице web-ресурса. Делается это потому, что дав полный допуск на странице НоСкрипт запомнит все активное содержимое которое было на странице во время изменения настройки. А это очень полезно для последующей диагностики сайта на появление новых скриптов или объектов. Если прописать адрес руками прямо в белый список, то изменения не будут отслеживаться, и если на доверенном СЕГОДНЯ чистом сайте завтра будет добавлен вредоносный или агрессивный код вы об этом не узнаете или узнаете, но будет слишком поздно. Лучше список оставить только для редакции в смысле удаления уже ненужных адресов
Дополнительные ограничения для ненадежных сайтов — галочки должны стоять на следующих пунктах:
все вышеперечисленные элементы на сайтах без разрешений будут заблокированы по умолчанию
на странице вместо ифреймов, флеш-объектов, шрифтов и прочих элементов будут стоять значки НоСкрипта 
при наведении на которые будет выводиться инфо об объекте
Если вы захотите разрешить на странице флеш или ифрейм например вы получите окно с инфо об объекте и с вопросом: вы действительно хотите разрешить.
должны стоять галки в обоих положениях
Это самые жесткие настройки защиты для всех недоверенных сайтов, где скрипты, флеш-объекты и прочие элементы нужно разблокировать вручную, просматривая домены с которых они транслируются или подгружаются. Ифреймы IFRAME разрешать нужно только в крайних случаях, если вы на 100% уверены в домене. Это самый опасный тег!
Недоверенные — галки должны стоять на следующих пунктах
можно оставить галку на разрешить локальные ссылки
оставить по умолчанию обе галки и ничего не трогать
поставить галку на автоматическую систему управления Cookies. Вы можете добавлять в список сайты, для которых нужно шифровать куки, и сайты на которых нужно игнорировать прием куков
Настройки ABE и Внешние фильтры можно не трогать и оставить как есть
Если вам не нужна жесткая и надежная защита и вы хотите изменить данные настройки, то помните, что IFRAME и JAVA а так же элементы других плагинов (см. картинку ) должны быть заблокированы всегда. Эти настройки не стоит снимать
Источник
Как использовать NoScript для Firefox
Разработчик популярного расширения безопасности NoScript выпустил совместимую с Firefox 57+ версию расширения вскоре после релиза обновленного браузера от Mozilla.
Он сотрудничал с Mozilla с целью создания новой версии NoScript и реализовал возможность переноса настроек из классических версий NoScript в новую версию.
Новое расширение получило смешанные отзывы. Некоторым пользователям понравилось, что NoScript стал доступен в Firefox 57, а кто-то жалуется на новый интерфейс и частичную потерю функциональности.
Рассмотрим расширение NoScript для Firefox 57+ подробнее.
Руководство NoScript для Firefox 57+
NoScript Security Suite — браузерное расширение для веб-браузера Firefox, предназначенное для управления типами содержимого, которое показывается на сайте. Расширение по умолчанию может блокировать выполнение сценариев JavaScript, что позволяет улучшить уровень безопасности и конфиденциальности. NoScript поддерживает другие возможности, защиту от XSS и кликджекинга и другие расширенные функции безопасности.
Интерфейс NoScript
Основной интерфейс расширения в новой версии поменялся кардинально. Если в классической версии подключения отображались в виде списка, то в новой версии используется табличный вид, аналогично uMatrix.
Всплывающее окно расширения состоит из кнопочной панели в верхней части и списка доменов в нижней части. NoScript выводит текущий домен сверху и сторонние подключения чуть ниже.
Символ замка, отображаемый рядом с доменами указывает на то, что используется HTTPS соединение. Обратите внимание, что иконка замка не показывается для некоторых уровней доверия.
Установка уровней доверия для доменов
Каждый домен, который выводится в интерфейсе NoScript, имеет определенный уровень доверия.
- Default — блокируются скрипты JavaScript, элементы Object, медиа-контент, шрифты и WebGL.
- Trusted — выполнение JavaScript разрешено.
- Trusted Temporarily — разрешено выполнение JavaScript для текущего сеанса или до тех пор, пока данный статус не будет отменен.
- Untrusted — все типы содержимого блокируется
- Custom — Пользователь может разрешать и блокировать определенные элементы точечно. Данные решения можно сделать временными, нажав соответствующую кнопку на вкладке Custom.
Все домены в NoScript имеют только один уровень доверия. Выбор нового уровня доверия автоматически отменяет прежний уровень.
В настройках NoScript можно изменять стандартные конфигурации для уровней доверия Default, Trusted и Untrusted.
Для этого достаточно поставить или убрать галочки около соответствующих типов содержимого. NoScript различает следующие элементы:
- Script -различные типы скриптов, которые сайт пытается выполнить
- Object — элементы с HTML тегом object
- Media — мультимедийный контент
- Frame — фреймы, которые сайт пытается загрузить
- Font — элементы Font.
- WebGL — элементы WebGL.
- Fetch — запросы, которые используют Fetch API для получения ресурсов
- Other — неизвестные элементы.
Кнопочная панель
На панели кнопок новой версии NoScript для Firefox собрано 7 кнопок. Перечислим их в порядке слева направо:
- Close — закрыть интерфейс NoScript.
- Reload — перезагрузить страницу.
- Options — открыть окно настроек.
- Disable restrictions globally — отменить ограничения на глобальном уровне.
- Disable restrictions for this tab — отменить ограничения для текущей вкладки.
- Set all on the page to temporarily trusted — установить уровень доверия Trusted Temporarily для доменов на текущей странице.
- Revoke temporary permissions — отменить временные правила.
NoScript добавляет отдельный пункт контекстного меню, который предлагает только одну функцию — при клике по нему открывается основной интерфейс NoScript в верхней области браузера. Вы можете отключить данный пункт меню в настройках расширения.
Как использовать NoScript
Поняв, как работают уровни доверия NoScript, вы сможете полноценно использовать расширение.
NoScript показывает количество заблокированных элементов на своей иконке, когда вы загружаете сайты в браузере Firefox. При нажатии на иконку выводится список подключений, которые расширения смогло распознать и уровни доверия для каждого домена. Обратите внимание, что NoScript может обнаруживать не все подключения, которые на самом деле осуществляет сайт. Так как выполнение скриптов отключено по умолчанию, сайты, скорее всего, не смогут инициировать все сторонние подключения.
Если вы разрешаете запуск скриптов на основном домене, вы сможете заметить дополнительные подключения по мере загрузки страницы.
Совет: наведите курсор на какой-либо домен в NoScript и нажмите по нему, чтобы открыть страницы со ссылками на сервисы безопасности и конфиденциальности с дополнительной информацией.
Возможно, нет необходимости вносить какие-либо изменения в уровни доверия, если сайт функционирует корректно. Однако, при первом подключении вы можете заметить, что некоторые функции не работают должным образом.
Так как скрипты и некоторые другие элементы блокируются по умолчанию, вы можете столкнуться с различными связанными с этим проблемами. Сайты используют скрипты и другие элементы для самых различных задач — от безобидной проверки формы или воспроизведения видео до таких нежелательных вещей, как реклама и отслеживание.
Смена уровня доверия на Trusted или Trusted Temporarily позволяет сайту загружать дополнительные элементы, в то время как уровень доверия Untrusted запрещает загрузку расширенного набора элементов.
Обратите внимание, что уровни доверия Trusted и Untrusted присваиваются на постоянной основе, поменять их нужно будет вручную.
Если сайт работает некорректно, и вы подозреваете, что проблемы могут быть связаны с защитными правилами NoScript, то следует заняться исправлением неполадок.
У вас есть несколько вариантов для решения проблемы. Вы можете временно разрешить домен или использовать уровень доверия Custom, чтобы установить индивидуальные правила для определенных элементов.
Использование опций Disable restrictions globally и Disable restrictions for this tab позволяет оперативно восстановить полную работоспособность сайта, но отключает большинство защитных функций NoScript.
NoScript по умолчанию поставляется с белым списком надежных сайтов. Проверить список доверенных сайтов можно на странице настроек на вкладке Per-site Permissions. К сожалению, пользователь не может удалить отдельные домены из списка, но может присвоить им уровень доверия Default или даже Untrusted.
Если вы перешли с прошлой версии NoScript, то вы увидите пользовательские сайты здесь также.
На данный момент NoScript предлагает ограниченный набор опций по сравнению с классической версией.
Параметры
Все параметры NoScript разбиты на 4 вкладки, которые предлагают следующую функциональность:
- General — настройка наборов правил для уровней доверия Default, Trusted и Untrusted и для опций Disable restrictions globally и Disable restrictions for this tab.
- Per-site Permissions — отображение всех настроенных пользователем правил. Доступен поиск.
- Appearance — сокрытие пункта контекстного меню, отключение значка с количеством заблокированных элементов у иконки и включение списка с полными адресами во всплывающем окне разрешений.
- Advanced — управление защитой от XSS и включение отладки.
Параметры конфигурации можно сбросить, импортировать или экспортировать.
Источник
