NoScript: ¿Cómo determinar qué sitios / scripts agregar a la lista blanca?

Navega tus respuestas
27

NoScript es un excelente complemento, tanto para la seguridad como para el bloqueo de anuncios. Sin embargo, he descubierto que no siempre es fácil averiguar qué scripts deben permitirse en ciertas páginas, para poder usar las funciones que quiero y al mismo tiempo bloquear los scripts innecesarios. Muchas veces, no es suficiente simplemente activar los scripts para el dominio del sitio que está visitando.

Por ejemplo, para usar StackExchange al máximo, he tenido que habilitar los scripts para:

  • stackexchange.com
  • googleapis.com
  • sstatic.net

En el pasado, generalmente lo he resuelto por prueba y error. Sin embargo, esa definitivamente no es la forma en que debería hacerse. Me deja vulnerable a la posibilidad de ejecutar secuencias de comandos maliciosas o publicitarias durante la fase de prueba y error, lo que podría provocar daños irreparables.

La mayoría de las veces, este problema surge cuando quiero usar una determinada función en un sitio web pero el script está alojado en un dominio diferente. Generalmente comienzo por habilitar a los "sospechosos habituales" como domain.tld, domaincdn.tld, domain-images.tld. Sin embargo, esto no siempre funciona. Y, un poco aparte de esto, realmente no hay una forma intuitiva (aparte de ejecutar una consulta WHOIS y confiar en esos resultados) para estar seguro de que domain-images.tld es propiedad y está controlado por las mismas personas que ejecutan domain.tld, o que sus scripts realmente ofrecen cualquier funcionalidad que yo quiera.

¿Existe algún complemento adicional u otro método que pueda usarse para averiguar qué dominios / scripts deben incluirse en la lista blanca para usar ciertas funciones de un sitio web? Preferiblemente, el método no debería requerir el conocimiento de ningún lenguaje de scripting o requerir que el usuario interprete el código fuente de los sitios.

Mi concepto de una solución "ideal" sería un complemento que me permita hacer clic con el botón derecho en cualquier elemento de la página interactiva (botón, hipervínculo, objeto flash, etc.) y ver una lista de sitios que albergan los scripts necesarios para ese elemento. realizar su función. También debería permitirme hacer clic con el botón derecho en un lugar vacío de la página y ver qué dominios alojan los scripts que afectan el diseño y el formato de la página.

  

Esta pregunta fue Cuestión de la semana sobre seguridad de TI .
  Lea el 02 de septiembre de 2011 entrada de blog para obtener más detalles o envíe su propio Pregunta de la semana.

    
pregunta Iszi 02.07.2011 - 18:39
fuente

3 respuestas

9

Puede instalar un complemento de asesor de sitios como, por ejemplo, el asesor de sitios de McAfee . Al hacer esto, puede buscar más fácilmente en el dominio cualquier maliciosidad reportada.

Por ejemplo, busco un dominio del cual un gran periódico está obteniendo sus adiciones. Obtengo un informe de vuelta en general Está bien, pero los informes de la comunidad dicen "Adware, spyware o virus (1)".

Estoy seguro de que existen más y posiblemente mejores complementos para buscar también un dominio para su calificación.

EDIT : me gustaría agregar este fragmento de código que encontré en Preguntas frecuentes de NoScript :

  

A partir de la versión 1.9.9.61,   NoScript ofrece una página de "Información del sitio"   lo que puede ayudarle a evaluar la   Confiabilidad de los sitios web mostrados.   en su menú NoScript. Puedes entrar   este servicio haciendo clic medio o   Mayús + clic en el elemento del menú correspondiente.   Si eres más del lado técnico.   y quieres examinar el JavaScript   código fuente antes de permitir, puede   ayúdate con JSView.

Por lo tanto, si tiene curiosidad por confiar o no, simplemente haga clic con el botón central en el dominio y consultará los siguientes sitios para obtener información:

  • WOT Scorecard
  • McAfee SiteAdvisor®
  • Información del sitio sobre consejos para webmasters
  • Diagnóstico de navegación segura en google-analytics.com
respondido por el Chris Dale 03.07.2011 - 22:53
fuente
5

[Divulgación: Soy el cofundador de la compañía cuyo producto se analiza en esta respuesta.]

  

En el pasado, generalmente lo he resuelto por prueba y error. Sin embargo, esa definitivamente no es la forma en que debería hacerse. Me deja vulnerable a la posibilidad de ejecutar secuencias de comandos maliciosas o publicitarias durante la fase de prueba y error, lo que podría provocar daños irreparables.

Este es el problema con los productos de seguridad basados en listas blancas. Realmente no puede estar seguro de cada elemento que agregue a la lista. Solo inténtalo y espera lo mejor. Incluso si agrega un dominio a la lista blanca, se pueden agregar nuevos scripts a ese dominio o se podrían cambiar los existentes. Para estar completamente seguro, debe analizar cada script antes de la ejecución para buscar actividad maliciosa. No creo que sea posible tener un programa de análisis de script genérico que pueda ver cada script y determinar si es seguro o no.

  

¿Existe algún complemento adicional u otro método que pueda usarse para averiguar qué dominios / scripts deben incluirse en la lista blanca para poder utilizar ciertas funciones de un sitio web? Preferiblemente, el método no debería requerir el conocimiento de ningún lenguaje de scripting o requerir que el usuario interprete el código fuente de los sitios.

Aunque no es exactamente lo que está pidiendo, mi empresa creó un complemento de seguridad similar que resuelve su problema, pero de una manera diferente. Ejecutamos todos los scripts necesarios para una página, pero los ejecutamos en un servidor de nube desechable. Esto hace que el usuario obtenga la funcionalidad completa de un sitio web, sin tener que incluir en la lista blanca cualquier secuencia de comandos y sin tener que ejecutar ninguna secuencia de comandos en su computadora local. Esto evita al usuario la necesidad de conocer los lenguajes de script o la necesidad de interpretar el código fuente de los sitios. En esencia, no importa si los scripts son buenos o malos, porque al ejecutarlos en nuestros servidores no pueden afectar su computadora.

Si está interesado, puede obtener más información en nuestro sitio web .

    
respondido por el Zuly Gonzalez 09.07.2011 - 21:30
fuente
2

Sospecho que la respuesta "correcta" sería que haya una extensión a HTML en la que el sitio web mismo declaró qué dominios estaban bajo su control directo y cuáles eran scripts de terceros (por ejemplo, Stack Exchange declararía stackexchange.com, sstatic.net como bajo control directo, googleapis.com como un sitio de terceros esencial, y otros como sitios de publicidad).

Puede parecer extraño. Después de todo, el punto central de NoScript es que no confía en el sitio en primer lugar, pero cuando está permitiendo secuencias de comandos desde el mismo sitio, ha decidido confiar (por ejemplo, ) Stack Exchange y solo desea designar todos los dominios en los que confía.

Obviamente, un sitio podría mentir y enumerar todos los sitios de anuncios que trata como parte de su estructura interna, pero la interfaz de usuario de NoScript tendría que hacerle saber lo que estaba haciendo.

Eso sí, ¡proponer extensiones a HTML no es exactamente una solución práctica para su problema!

    
respondido por el Richard Gadsden 04.07.2011 - 18:25
fuente

Lea otras preguntas en las etiquetas

¿La versión de un archivo encriptado lo hace menos seguro? ¿Existen vulnerabilidades conocidas en las VPN PPTP cuando se configuran correctamente?