โนสคริปต์

โนสคริปต์
โนสคริปต์
	โลโก้ที่ใช้ตั้งแต่เดือนพฤศจิกายน 2022
ผู้เขียนต้นฉบับ	จอร์โจ มาโอเน
นักพัฒนา	จอร์โจ มาโอเน
ปล่อย	13 พฤษภาคม 2548
เวอร์ชันเสถียร	13.6.25 / 22 มิถุนายน 2026
รุ่นทดลองใช้งาน	11.5.3rc1 / 11 พฤศจิกายน 2024
เขียนเป็น	JavaScript , XUL , CSS
มีจำหน่ายใน	45 ภาษา
พิมพ์	ส่วนขยายเบราว์เซอร์
ใบอนุญาต	จีพีแอลวี2+
เว็บไซต์	โนสคริปต์เน็ต
ที่เก็บข้อมูล	https://github.com/hackademix/noscript

NoScript (หรือNoScript Security Suite ) เป็น ส่วนขยายโอเพนซอร์สฟรีสำหรับเว็บเบราว์เซอร์FirefoxและChromium ^{[ 4 ]}ซึ่งเขียนและดูแลโดย Giorgio Maone ^{[ 5 ]}นักพัฒนาซอฟต์แวร์และสมาชิกของ Mozilla Security Group ตั้งแต่ปี 2007 ^{[ 6 ]}

คุณสมบัติ

การบล็อกเนื้อหาแบบแอคทีฟ

โดยค่าเริ่มต้น NoScript จะบล็อกเนื้อหาเว็บที่ทำงานอยู่ (ไฟล์ที่สามารถเรียกใช้งานได้) ซึ่งสามารถปลดบล็อกได้ทั้งหมดหรือบางส่วนโดยการเพิ่มเว็บไซต์หรือโดเมนลงในรายการที่อนุญาตจากเมนูแถบเครื่องมือของส่วนขยาย หรือโดยการคลิกไอคอนตัวแทน

ในการกำหนดค่าเริ่มต้น เนื้อหาที่ใช้งานอยู่จะถูกปฏิเสธทั่วโลก แม้ว่าผู้ใช้อาจเปลี่ยนการตั้งค่านี้และใช้ NoScript เพื่อบล็อกเนื้อหาที่ไม่ต้องการเฉพาะเจาะจงได้ รายการที่อนุญาตอาจเป็นแบบถาวรหรือชั่วคราว (จนกว่าเบราว์เซอร์จะปิดหรือผู้ใช้เพิกถอนสิทธิ์) เนื้อหาที่ใช้งานอยู่อาจประกอบด้วยJavaScript , ฟอนต์เว็บ, ตัวแปลงสัญญาณ สื่อ , WebGL , Java applet , SilverlightและFlashส่วนเสริมนี้ยังมีมาตรการป้องกันเฉพาะต่อการโจมตีด้านความปลอดภัยอีกด้วย^{[ 7 ]}

เนื่องจากการโจมตีเว็บเบราว์เซอร์จำนวนมากต้องใช้เนื้อหาแอคทีฟที่เบราว์เซอร์ทำงานตามปกติโดยไม่มีข้อสงสัย การปิดใช้งานเนื้อหาดังกล่าวโดยค่าเริ่มต้นและใช้งานเฉพาะเมื่อจำเป็นเท่านั้นจะช่วยลดโอกาสในการใช้ประโยชน์จากช่องโหว่ นอกจากนี้ การไม่โหลดเนื้อหานี้ยังช่วยประหยัดแบนด์วิดท์ได้มาก^{[ 8 ]}และป้องกันการติดตามเว็บบางรูปแบบได้

NoScript มีประโยชน์สำหรับนักพัฒนาในการตรวจสอบว่าเว็บไซต์ของตนทำงานได้ดีแค่ไหนเมื่อปิดใช้งาน JavaScript นอกจากนี้ยังสามารถกำจัดองค์ประกอบเว็บที่น่ารำคาญหลายอย่าง เช่น ข้อความป๊อปอัพในหน้าเว็บ และระบบเก็บค่าบริการ บางอย่าง ซึ่งต้องใช้ JavaScript ในการทำงาน

NoScript มีลักษณะเป็น ไอคอน แถบเครื่องมือหรือ ไอคอน แถบสถานะใน Firefox โดยจะแสดงบนทุกเว็บไซต์เพื่อระบุว่า NoScript ได้บล็อก อนุญาต หรืออนุญาตสคริปต์บางส่วนให้ทำงานบนหน้าเว็บที่กำลังดูอยู่หรือไม่ การคลิกหรือวางเคอร์เซอร์เมาส์ (ตั้งแต่เวอร์ชัน 2.0.3rc1 ^{[ 9 ]} ) บนไอคอน NoScript จะทำให้ผู้ใช้สามารถเลือกที่จะอนุญาตหรือห้ามการประมวลผลสคริปต์ได้

อินเทอร์เฟซของ NoScript ไม่ว่าจะเข้าถึงโดยการคลิกขวาบนหน้าเว็บหรือกล่อง NoScript ที่โดดเด่นที่ด้านล่างของหน้า (ตามค่าเริ่มต้น) จะแสดง URL ของสคริปต์ที่ถูกบล็อก แต่ไม่ได้ให้ข้อมูลอ้างอิงใด ๆ เพื่อตรวจสอบว่าสคริปต์ที่กำหนดนั้นปลอดภัยที่จะเรียกใช้หรือไม่^{[ 10 ]}สำหรับเว็บเพจที่ซับซ้อน ผู้ใช้อาจต้องเผชิญกับ URL ที่เข้าใจยากมากกว่าสิบรายการและเว็บเพจที่ไม่ทำงาน โดยมีเพียงตัวเลือกในการอนุญาตสคริปต์ บล็อกสคริปต์ หรืออนุญาตชั่วคราวเท่านั้น

เมื่อวันที่ 14 พฤศจิกายน 2017 Giorgio Maone ได้ประกาศ NoScript 10 ซึ่งจะ "แตกต่างอย่างมาก" จากเวอร์ชัน 5.x และจะใช้เทคโนโลยี WebExtension ทำให้สามารถใช้งานร่วมกับFirefox Quantumได้^{[ 11 ]}เมื่อวันที่ 20 พฤศจิกายน 2017 Maone ได้ปล่อยเวอร์ชัน 10.1.1 สำหรับ Firefox 57 ขึ้นไป NoScript พร้อมใช้งานสำหรับ Firefox บน Android ^{[ 12 ]}

การป้องกัน XSS

เมื่อวันที่ 11 เมษายน พ.ศ. 2550 NoScript 1.1.4.7 ได้รับการเผยแพร่สู่สาธารณะ^{[ 13 ]}ซึ่งนำเสนอการป้องกันฝั่งไคลเอ็นต์ครั้งแรกต่อการโจมตีแบบ Cross-Site Scripting (XSS) ประเภท 0 และประเภท 1 ที่เคยมีมาในเว็บเบราว์เซอร์

เมื่อใดก็ตามที่เว็บไซต์พยายามแทรกโค้ด HTML หรือ JavaScript เข้าไปในเว็บไซต์อื่น (ซึ่งเป็นการละเมิดนโยบายต้นทางเดียวกัน ) NoScript จะกรองคำขอที่เป็นอันตรายและทำให้เพย์โหลดที่เป็นอันตรายนั้นเป็นกลาง^{[ 14 ]}

คุณสมบัติที่คล้ายกันนี้ได้รับการนำมาใช้ในอีกหลายปีต่อมาโดยMicrosoft Internet Explorer 8 ^{[ 15 ]}และโดยGoogle Chrome ^{[ 16 ]}

ตัวบังคับใช้ขอบเขตแอปพลิเคชัน (ABE)

Application Boundaries Enforcer (ABE) เป็นโมดูลในตัวของ NoScript ที่ออกแบบมาเพื่อเสริมความแข็งแกร่งให้กับ การป้องกันที่มุ่งเน้น แอปพลิเคชันเว็บซึ่ง NoScript มีอยู่แล้ว โดยการส่งมอบส่วนประกอบที่คล้ายกับไฟร์วอลล์ซึ่งทำงานอยู่ภายในเบราว์เซอร์

"ไฟร์วอลล์" นี้มีความเชี่ยวชาญในการกำหนดและปกป้องขอบเขตของแอปพลิเคชันเว็บที่ละเอียดอ่อนแต่ละรายการที่เกี่ยวข้องกับผู้ใช้ (เช่น ปลั๊กอิน เว็บเมลธนาคารออนไลน์และอื่นๆ) ตามนโยบายที่กำหนดโดยตรงโดยผู้ใช้ นักพัฒนา/ผู้ดูแลระบบเว็บ หรือบุคคลที่สามที่เชื่อถือได้^{[ 17 ]}ในการกำหนดค่าเริ่มต้น ABE ของ NoScript ให้การป้องกัน การโจมตี CSRFและDNS rebindingที่มุ่งเป้าไปที่ทรัพยากรอินทราเน็ต เช่น เราเตอร์และแอปพลิเคชันเว็บที่ละเอียดอ่อน^{[ 18 ]}

ClearClick (ระบบป้องกันการคลิกหลอกลวง)

คุณสมบัติ ClearClick ของ NoScript ^{[ 19 ]} ซึ่งเปิดตัวเมื่อวันที่ 8 ตุลาคม พ.ศ. 2551 ช่วยป้องกันผู้ใช้จากการคลิกที่องค์ประกอบหน้าเว็บที่มองไม่เห็นหรือ "ถูกแก้ไข" ของเอกสารฝังตัวหรือแอปเพล็ต ซึ่งช่วยป้องกันการโจมตีแบบ clickjackingทุกประเภท(เช่น จากเฟรมและปลั๊กอิน) ^{[ 20 ]}

สิ่งนี้ทำให้ NoScript เป็น "ผลิตภัณฑ์เดียวที่มีให้ใช้งานฟรีซึ่งให้การป้องกันการโจมตี clickjacking ในระดับที่เหมาะสม" ^{[ 21 ]}

การปรับปรุง HTTPS

NoScript สามารถบังคับให้เบราว์เซอร์ใช้HTTPS เสมอ เมื่อสร้างการเชื่อมต่อกับเว็บไซต์ที่มีความอ่อนไหวบางแห่ง เพื่อป้องกันการโจมตีแบบ man-in-the-middle พฤติกรรมนี้สามารถเรียกใช้ได้ทั้งจากเว็บไซต์เอง โดยการส่ง ส่วนหัว Strict Transport Securityหรือกำหนดค่าโดยผู้ใช้สำหรับเว็บไซต์ที่ยังไม่รองรับ Strict Transport Security ^{[ 22 ]}

คุณสมบัติการปรับปรุง HTTPS ของ NoScript ถูกนำมาใช้โดยElectronic Frontier Foundationเป็นพื้นฐานของส่วนเสริมHTTPS Everywhere ^{[ 23 ]}

รางวัล

PC Worldเลือก NoScript ให้เป็นหนึ่งใน 100 ผลิตภัณฑ์ที่ดีที่สุดของปี 2006 ^{[ 24 ]}
ในปี 2551 NoScript ได้รับรางวัล "ส่วนเสริมความปลอดภัยที่ดีที่สุด" จากAbout.com ^{[ 25 ]}
^{ในปี 2010 NoScript ได้รับรางวัล "The Reader 's} Choice Awards" ในหมวด "ส่วนเสริมความเป็นส่วนตัว/ความปลอดภัยที่ดีที่สุด" จากAbout.com [ ^{26 ]}
^{ในปี 2011 NoScript ได้รับรางวัล "The Reader 's} Choice Awards" เป็นปีที่สองติดต่อกันในหมวด "ส่วนเสริมความเป็นส่วนตัว/ความปลอดภัยที่ดีที่สุด" ที่About.com [ ^{27 ]}
NoScript เป็นผู้ชนะรางวัล "Security Innovation Grant" ของ Dragon Research Group ประจำปี 2011 (ฉบับแรก) รางวัลนี้มอบให้แก่โครงการที่มีนวัตกรรมมากที่สุดในด้านความปลอดภัยของข้อมูล โดยได้รับการตัดสินจากคณะกรรมการอิสระ^{[ 28 ]}

ความขัดแย้ง

เกิดความขัดแย้งกับ Adblock Plus

ในเดือนพฤษภาคม พ.ศ. 2552 มีรายงานว่า "สงครามส่วนขยาย" ได้ปะทุขึ้นระหว่าง Giorgio Maone ผู้พัฒนา NoScript และผู้พัฒนาส่วนขยาย Adblock Plus สำหรับ Firefox หลังจากที่ Maone ปล่อย NoScript เวอร์ชันที่หลีกเลี่ยงการบล็อกที่เปิดใช้งานโดยตัวกรอง AdBlock Plus ^{[ 29 ]}^{[ 30 ]}โค้ดที่ใช้สำหรับการแก้ไขปัญหานี้ถูก "พราง" ^{[ 29 ]}เพื่อหลีกเลี่ยงการตรวจจับ Maone ระบุว่าเขาได้นำไปใช้เพื่อตอบสนองต่อตัวกรองที่บล็อกเว็บไซต์ของเขาเอง หลังจากได้รับการวิพากษ์วิจารณ์อย่างหนักและการประกาศจากผู้ดูแลระบบของ เว็บไซต์ Mozilla Add-onsว่าเว็บไซต์จะเปลี่ยนแนวทางเกี่ยวกับการแก้ไขส่วนเสริม^{[ 31 ]} Maone ได้ลบโค้ดและออกคำขอโทษอย่างเต็มที่^{[ 29 ]}^{[ 32 ]}

ความขัดแย้งกับโกสเตอรี่

หลังเหตุการณ์ Adblock Plus ไม่นาน^{[ 33 ]}เกิดการโต้เถียงกันระหว่าง Maone กับผู้พัฒนา ส่วนเสริม Ghosteryหลังจากที่ Maone ได้ทำการเปลี่ยนแปลงบนเว็บไซต์ของเขาโดยปิดใช้งานการแจ้งเตือนที่ Ghostery ใช้ในการรายงาน ซอฟต์แวร์ ติดตามเว็บ^{[ 34 ]}ซึ่งถูกตีความว่าเป็นความพยายามที่จะ "ป้องกันไม่ให้ Ghostery รายงานเกี่ยวกับตัวติดตามและเครือข่ายโฆษณาบนเว็บไซต์ของ NoScript" ^{[ 33 ]}ในการตอบสนอง Maone ระบุว่าการเปลี่ยนแปลงดังกล่าวเกิดขึ้นเนื่องจากการแจ้งเตือนของ Ghostery บดบังปุ่มบริจาคบนเว็บไซต์ของ NoScript ^{[ 35 ]}ความขัดแย้งนี้ได้รับการแก้ไขเมื่อ Maone เปลี่ยน CSS ของเว็บไซต์ของเขาเพื่อย้ายการแจ้งเตือนของ Ghostery แทนที่จะปิดใช้งาน^{[ 36 ]}

ดูเพิ่มเติม

ลิงก์ภายนอก

เว็บไซต์อย่างเป็นทางการ
NoScript ที่ addons.mozilla.org
NoScript Anywhere (3.5 a 15) สำหรับFirefox บน Android
การนำเสนอ NoScriptใน หัวข้อ วิธีการหลีกเลี่ยงการเซ็นเซอร์อินเทอร์เน็ต เก็บถาวรเมื่อวันที่ 6 เมษายน 2015 ที่Wayback Machineซึ่งเป็น คู่มือ FLOSSฉบับวันที่ 10 มีนาคม 2011 จำนวน 240 หน้า

[

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

ในปี 2010 NoScript ได้รับรางวัล "The Reader 's

ในปี 2011 NoScript ได้รับรางวัล "The Reader 's

[ 28 ]

[ 29 ]

[ 30 ]

[ 31 ]

[ 32 ]

[ 33 ]

[ 34 ]

[ 35 ]

[ 36 ]