¿Hay complementos que deshabiliten solo algunas funciones de los scripts?

4

Tor viene con NoScript. Corríjame si me equivoco, pero eso se debe a que los scripts del lado del cliente pueden determinar la dirección IP de origen, independientemente de a través de quién se pase el tráfico. Pero NoScript parece sobre matar. Hay un montón de usos legítimos y no amenazantes para JavaScript y similares. Realmente odio esta noción de lista blanca, no puedes confiar en un sitio web pero quieres que funcione.

¿Hay una manera de bloquear solo partes de los scripts del lado del cliente que determinan la dirección IP o la ubicación (etc.)? Si no, me sorprendería, parecería fácil, ya que todo lo que habría que hacer es tomar llamadas a las funciones de lenguajes de scripting para obtener información de IP.

Alternativamente, ¿hay listas blancas públicas para NoScript?

    
pregunta Celeritas 07.07.2012 - 02:18
fuente

3 respuestas

3

En realidad, NoScript ofrece opciones para la lista blanca y el comportamiento de los complementos en las preferencias del cliente.

Si hace clic en el icono de NoScript en la barra de herramientas del navegador, debería ver un enlace de menú desplegable titulado "opciones". Seleccionando eso se abrirá el panel de preferencias de NoScript, y desde allí puede configurar prácticamente todos los aspectos del comportamiento de NoScript. De hecho, NoScript incluso ofrece una pestaña llamada "Lista blanca" con muchos sitios comunes incluidos en la distribución predeterminada, como "google.com", "msn.com", etc. Por lo tanto, debería poder lograr el resultado deseado desde dentro de la configuración del plugin. Mis pruebas se realizaron en FireFox (que se incluye en el paquete del navegador TOR), pero las mismas características también existen en la versión Chrome del complemento.

Con respecto a una versión más relajada de NoScript, puede probar Web of Trust . Funciona como una lista negra gestionada por la comunidad.

Ahora, a la pregunta más amplia. Primero, NoScript puede bloquear mucho más que JavaScript, y mucha gente lo usa como una lista blanca para mitigar todos los vectores de amenazas más comunes del lado del cliente, incluyendo JavaScript, Flash, Silverlight, Java Applets, etc. Desde la perspectiva del anonimato Es probable que todas esas herramientas se puedan usar para ayudarlo a identificarlo si el sitio web al que se está conectando estaba dirigido específicamente a los usuarios de TOR. Además, el código de JavaScript se puede ofuscar para que sea más difícil de identificar con un simple programa de análisis de texto.

Entonces, como una precaución de seguridad general, NoScript puede agregar mucho valor. Si las configuraciones predeterminadas son demasiado paranoicas para usted, mi sugerencia sería configurar las preferencias de la lista blanca de NoScript para permitir JavaScript y posiblemente el contenido de complementos de fuentes confiables mientras navega de forma privada con TOR. Esto puede llevar un poco de tiempo de configuración, pero después de incluir en la lista blanca los sitios más comunes, no debería ser demasiado complicado mantenerlos. Como lo señala @Curiousguy a continuación, puede mitigar aún más su riesgo de ataques MITM al solo incluir en la lista blanca los sitios HTTPS para aprovechar la PKI.

    
respondido por el Mark 07.07.2012 - 04:23
fuente
0

No, no hay una manera fácil de bloquear solo los scripts que puedan revelar su dirección IP o ubicación.

El problema es que es muy difícil mirar un script y decir qué hará, por ejemplo, si podría violar su anonimato. Hay muchas formas de ofuscar qué hará el Javascript. Y, muchos sitios usan herramientas para "minimizar" su Javascript que puede hacer que se vean semi-ofuscados, por lo que no puedes simplemente bloquear todos los scripts que parecen estar ofuscados.

Por lo tanto, continuar usando NoScript, como se encuentra en el paquete Tor, es probablemente el movimiento pragmático correcto.

    
respondido por el D.W. 08.07.2012 - 02:46
fuente
-1
  

Tor viene con NoScript. Corríjame si me equivoco, pero eso se debe a que los scripts del lado del cliente pueden determinar la dirección IP de origen, independientemente de a través de quién se pase el tráfico.

Respuesta corta:

Estás equivocado.

Suponiendo que no haya una vulnerabilidad del navegador, JS no puede determinar su dirección IP. Todas las solicitudes HTTP salientes realizadas con JS se procesarán como otras solicitudes HTTP realizadas por el navegador.

Respuesta larga:

NoScript es un complemento muy útil para la seguridad y la privacidad; el interruptor de encendido / apagado para JavaScript es solo una de las muchas cosas que puede hacer:

  • bloquear contenido incrustado: Java, Flash, Silverlight ...
  • bloquea la mayoría de XSS reflejado (pero los webmasters deben corregir sus sitios, sin importar qué)
  • defina conjuntos globales de reglas definidas por el usuario y de todo el sitio para las solicitudes GET y POST permisibles entre sitios, con el posible "anonimato" de dichas solicitudes (en particular, no se envían cookies HTTP) "ABE"
  • evita que el sitio web de Internet se vincule a direcciones IP "locales" (localhost, RFC 1918 ...)
  • bloquee la interacción peligrosa del usuario con marcos incrustados parciales de sitios ocultos ("clickjacking", también conocido como "ataque de reparación de IU")
  • aplica HTTPS solo en los dominios listados (no es tan flexible como el complemento HTTP Everywhere, pero sigue siendo útil)
  • otros problemas de privacidad, como activar / desactivar la función A PING

Se puede utilizar NoScript:

  • para reducir la posibilidad de ataques por contenido remoto: un script JS bloqueado o un applet de Java / Flash no puede intentar explotar un error de seguridad en su cliente
  • para aislar los sitios web para que se bloqueen las interacciones inapropiadas

Ambos son importantes para la seguridad.

Falsos positivos

A veces, NoScript puede tener falsos positivos en sitios con contenido interactivo enmarcado, en la detección XSS ... al final, el usuario decide qué hacer. El usuario siempre tiene el control, pero los mensajes de advertencia de NoScript pueden ser bastante difíciles de entender para el usuario no técnico.

Complementos frente a proxy

No todos los complementos respetan la configuración de proxy del navegador, y algunos complementos incluso se han mostrado para mostrar, pero no siempre, su propia configuración de proxy. Esto es extremadamente peligroso, ya que cualquier solicitud saliente que no se encuentre en un servidor proxy revelará su propia dirección IP que trató de ocultar, y el comportamiento inconsistente de WRT a la configuración de proxy puede dar la ilusión de seguridad.

Además, un applet de Java revelará felizmente la dirección IP local de los sockets, por lo que podría usarse para descubrir su propia dirección IP privada que puede ser una información de identificación (si no usa una dirección IP privada muy común) ).

Todos los proxies, no solo Tor

Estas consideraciones no solo se aplican a Tor, sino también a cualquier uso de un proxy para el anonimato .

Una forma de hacer que los proxies sean más seguros es bloquear todo el tráfico saliente a Internet (excepto los datos enviados al proxy) a nivel de firewall . Esto proporcionará defensa en profundidad contra el mal comportamiento de los clientes.

Pero la configuración de un cortafuegos (filtro de paquetes) generalmente solo la puede realizar el administrador, es una función de todo el sistema (incluso si solo desea bloquear la conexión creada localmente de programas que se ejecutan con su ID de usuario). Por lo tanto, la opción de firewall no será accesible para todos los usuarios.

    
respondido por el curiousguy 07.07.2012 - 09:29
fuente

Lea otras preguntas en las etiquetas