Estoy usando y logrando que mis amigos usen NoScript, y el argumento que normalmente tengo que usar para convencerlos es "Evita que el sitio web lo infecte sin que usted descargue algo (por usted mismo)".
Pero ahora que leí un poco sobre malware, no estoy tan seguro de esto y me gustaría una confirmación;
Con Firefox actualizado a la última versión y NoScript, ¿es posible que se infecte con un disco por descarga sin intentar activamente infectarme?
Un disco por descarga puede referirse a varias cosas.
El primer método no es muy "drive-by" en mi opinión, pero sigue siendo útil reconocer que esto todavía es posible.
Engañar a alguien para que descargue un archivo puede ser tan simple como pensar que está haciendo clic en un enlace regular y luego descargar un EXE, PDF, etc. No necesita JS o un complemento para hacer esto, pero ayuda. Un ejemplo muy simple sería una "ventana emergente" (solo una pieza de html con CSS para que parezca una ventana emergente) que diga "tiene un problema con su computadora, haga clic en Aceptar para descargar una solución". Al hacer clic en esto, se iniciará la descarga de un EXE, que el usuario puede ejecutar o no.
El segundo método es un poco más raro y un poco más peligroso porque puede afectar incluso a los usuarios expertos en computadoras. Esto a menudo implica algún tipo de explotación en el navegador / sistema operativo o un complemento (flash, Adobe Reader, etc.). NoScript evitaría cualquier explotación que dependiera de javascript / plugin que estuviera alojado en un dominio que no estuviera en la lista blanca. Por lo tanto, si incluyó en la lista blanca security.stackexchange y alguien hackeó el servidor y agregó JS malicioso, no estaría a salvo de esto. NoScript tampoco lo protegerá de ninguna otra vulnerabilidad del sistema operativo / navegador que, obviamente, no se bloquee con NoScript. Tomemos, por ejemplo, la vulnerabilidad de metarchivo de Windows . No requería JS / plugin y permitía la ejecución de código arbitrario en la máquina de la víctima.
La respuesta básica a su pregunta es que, sí, la unidad por descarga todavía es posible con noscript instalado. Incluso técnicamente es posible con javascript y otros complementos desactivados. Sin embargo, tenga en cuenta que todavía ayuda a mitigar la amenaza.
Lea otras preguntas en las etiquetas web-browser drive-by-download plugins firefox