No conozco los detalles específicos, pero Chrome recorre una gran extensión de JavaScript de sandbox y aísla un sitio de los otros. Eso es único entre los navegadores AFAIK, lo que hace que sea muy difícil explotar cualquier vulnerabilidad que se encuentre en él (que, sin embargo, existe). Consulte esta pregunta para obtener más información. Chrome también es uno de los pocos que ya admite iframe sandboxing , que debería ayudar a crear sitios que se integren Los contenidos de terceros son mucho más seguros (aunque no sé con qué frecuencia se usa en la práctica, un ejemplo bien conocido son las aplicaciones de Facebook).
Lo que es notable de NoScript, sin embargo, es que le permite selectivamente habilitar / deshabilitar JavaScript y otros contenidos dinámicos por dominio. Esta es también una característica única de AFAIK, ya que la mayoría de los navegadores le permiten desactivar todos los scripts en una página, o habilitarlos a todos, no es compatible con el medio. Esto le permite, por ejemplo, activar solo los guiones necesarios para acceder a los contenidos deseados, pero dejar todo el resto deshabilitado (en particular, los guiones de anuncios de fuentes muy diferentes que suelen estar presentes en una página determinada, y que representan un buen porcentaje) de los riesgos de seguridad).
Eso hace que sea difícil determinar "cuál es mejor". Mi intuición es que Chrome protege mejor su computadora , mientras que NoScript protege mejor los datos que ingresa en los diferentes sitios. Ya que uno no puede razonablemente esperar que cada sitio tenga una protección XSS decente y que se mantenga actualizado con los vectores de ataque más recientes, al minimizar la cantidad de código no confiable que se ejecuta en el mismo contexto de página (algo que El sandboxing de Chrome no puede hacer nada al respecto) las posibilidades de que se filtren datos privados de un dominio a otro también disminuyen.
Hay planes para portar NoScript a Chrome , lo cual creo que sería ideal , pero desafortunadamente se ha visto frenado por la falta de soporte para el acceso sincrónico a los activos de la página por extensiones individuales. Eso significa que uno no puede inspeccionar un script antes de que ya esté ejecutado, lo que hace que muchas de las funciones de NoScript sean inviables (y también significa alternativas como NotScripts nunca alcanzará un nivel de seguridad similar).