Seguridad del navegador: ¿Firefox + NoScript es mejor que Google Chrome?

Para empezar, Chrome tiene mejores funciones de seguridad y una seguridad effort que Firefox.

Es cierto que JavaScript puede estar involucrado en la explotación y los kits de explotación utilizan JS para ocultar las vulnerabilidades y perfilar el navegador Para la explotación. Pero la desactivación de JS no debe considerarse una bala de plata para la seguridad del navegador.

Más que el simple bloqueo de JS, NoScript trae a las características de seguridad de Firefox que Chrome ya tiene, como protección XSS . Y características de las que carece Chrome, como Protección de captura de clics y protección contra ataques basados en complementos . Ten en cuenta que NoScript también aumentará la superficie de ataque .

No hay un claro ganador aquí, ya que la seguridad de Firefox + NoScript depende de que el usuario configure NoScript y de la relación de uso.

Para obtener más información sobre la seguridad del navegador, lea el Manual de seguridad del navegador de Michal Zalewski. Su libro, The Tangled Web: una guía para asegurar aplicaciones web modernas extiende este manual.

No conozco los detalles específicos, pero Chrome recorre una gran extensión de JavaScript de sandbox y aísla un sitio de los otros. Eso es único entre los navegadores AFAIK, lo que hace que sea muy difícil explotar cualquier vulnerabilidad que se encuentre en él (que, sin embargo, existe). Consulte esta pregunta para obtener más información. Chrome también es uno de los pocos que ya admite iframe sandboxing , que debería ayudar a crear sitios que se integren Los contenidos de terceros son mucho más seguros (aunque no sé con qué frecuencia se usa en la práctica, un ejemplo bien conocido son las aplicaciones de Facebook).

Lo que es notable de NoScript, sin embargo, es que le permite selectivamente habilitar / deshabilitar JavaScript y otros contenidos dinámicos por dominio. Esta es también una característica única de AFAIK, ya que la mayoría de los navegadores le permiten desactivar todos los scripts en una página, o habilitarlos a todos, no es compatible con el medio. Esto le permite, por ejemplo, activar solo los guiones necesarios para acceder a los contenidos deseados, pero dejar todo el resto deshabilitado (en particular, los guiones de anuncios de fuentes muy diferentes que suelen estar presentes en una página determinada, y que representan un buen porcentaje) de los riesgos de seguridad).

Eso hace que sea difícil determinar "cuál es mejor". Mi intuición es que Chrome protege mejor su computadora , mientras que NoScript protege mejor los datos que ingresa en los diferentes sitios. Ya que uno no puede razonablemente esperar que cada sitio tenga una protección XSS decente y que se mantenga actualizado con los vectores de ataque más recientes, al minimizar la cantidad de código no confiable que se ejecuta en el mismo contexto de página (algo que El sandboxing de Chrome no puede hacer nada al respecto) las posibilidades de que se filtren datos privados de un dominio a otro también disminuyen.

Hay planes para portar NoScript a Chrome , lo cual creo que sería ideal , pero desafortunadamente se ha visto frenado por la falta de soporte para el acceso sincrónico a los activos de la página por extensiones individuales. Eso significa que uno no puede inspeccionar un script antes de que ya esté ejecutado, lo que hace que muchas de las funciones de NoScript sean inviables (y también significa alternativas como NotScripts nunca alcanzará un nivel de seguridad similar).

La misma protección de NoScript en Firefox está disponible como "ScriptNo" en Google it.

Habría proporcionado un enlace pero actualmente estoy usando Firefox y Google me impidió acceder al portal donde reside sin Chrome.

Cambié mis navegadores y uso el más actualizado disponible todo el tiempo, alternando entre Firefox y Chrome.