Mi a véleményetek a NoScript Firefox-bővítményről?

Offtopic

Most kezdtem használni, tapasztalatokat várok.

  • 2140 megtekintés

( snq- | 2008. 09. 30., k – 17:39 )

véletlenül google*&co-szarok vannak a default whitelistben, nyilván ezek törlésével indít az ember

( eax | 2008. 09. 30., k – 17:50 )

Melegen ajanlott.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( kumgabor v | 2008. 09. 30., k – 18:19 )

Mennyire jelentenek reális veszélyt a szkriptek egy uptodate Linux és Firefox esetén?

--
Kum Gábor
www.kumgabor.hu

( elod v | 2008. 09. 30., k – 18:58 )

Fent van, de egy idő után meguntam, és most éppen "Scripts Globally Allowed" állapotban van.

Még nem sikerült nagyon megszívnom az alatt a pár év alatt, mióta intenzíven használom a netet. Linux alatt pedig még annyira sem izgulok. Sokkal hasznosabb pl. egy Flash blokkoló plugin.

Hogy még teljesebb legyen a kép: pár hónapja IE7-es a "default browserem", egy-egy linket gyors kinyitására használom. Kemény navigálásra (ez az mikor több 10 tab van nyitva) viszont Firefox.

( szegecs | 2008. 09. 30., k – 18:58 )

Most shit.
--
Én egy divathupper vagyok. :)

( LiRul v | 2008. 09. 30., k – 19:06 )

Ajanlanam helyette a yesscript kiegeszitest, ami forditottja a noscriptnek, vagyis alapbol minden johet, es blacklist van. Arányaiban nincs ertelme osszevetni, hogy hany gonosz es hany jo js hasznalo oldal van a neten. Es ugy velem, hogy az az oldal, ami most 2008 vegen egy kicsit is ad az usability-re, az hasznal js-t.

Hát az, hogy a 'usability' nem veszik el... mert így 2008 környékén, már csak JS-el usability egy oldal... JS nélkül teljesen usabilitlen... Hogy a repaba lehetne pl. egy linket 'USAbili-kent' megcsinalni JS nelkul??? Sehogy!! No latod, ezert kell a 'YesScript' hogy pozitiv (eloremutato) valaszt tudj adni az 'USAbili'-re... ;)

Zsiraf

Jajj ez a szójáték... :D:D
Amúgy hogy hozzá is tegyek a témához valami érdemlegeset: én kb. 2 hónapja használom, és bevallom tud nagyon idegesítő lenni a noscript, ugyanis manapság tényleg majdnem minden oldalon van js, és sokszor ha látni akarom az oldalon pl. a menüt akkor engedélyeznem kell a js-et(hogy egyátalán használni tudjam az oldalt). Onnantól kezdve ha ártani akar nekem az oldal akkor ártani is fog :D
Persze hasznos is mert ha olyan oldalra megyek ahol még nem jártam, akkor alapból minden scriptet letilt, aztán ha "megbízok az oldalban" akkor engedélyezem, nem az van hogy amint odamegyek lefutnak a gonosz szkriptek amik leformatálják a vincseszteremet. xD
---
Debian "lenny", 2.6.24-amd64
Jester blogja

( padawan | 2008. 09. 30., k – 19:43 )

Sztem felesleges. Oldalak fele amit hasznalnek nem mukodik csak ha whitelistelem. Sose tortent meg semmi rossz (legalabbis nemtudok rola) velem, pedig nemhasznalom.

Szerintem is az. Túl van ez hype-olva, rendesen. A legtöbb cross-site-scripting támadáshoz elengedhetetlenül szükséges némi social engineering, kamu linkekre való kattintásra e-mailben fölbuzdítás, vagy hasonló. Szoktál idegenektől jövő mailekben levő, ismerősnek látszó linkeket követni? Persze létezik ilyen ügyeskedések nélküli XSS támadás is, de azokkal meg a mindenféle fórumokban érvényes identitásodat lehet ellopni, nem a bankod webes felületére szólót. IMHO, de FIXME.

"Szoktál idegenektől jövő mailekben levő, ismerősnek látszó linkeket követni?"

Szoktal href.hu-s linkeket kovetni?

"Persze létezik ilyen ügyeskedések nélküli XSS támadás is, de azokkal meg a mindenféle fórumokban érvényes identitásodat lehet ellopni"

... vagy atkonfigolni az upnp-s szappantartodon a default dns szervert, esetleg kiforwardolni par portot, aztan mar nem is kell "idegenektől jövő mailekben levő, ismerősnek látszó linkeket követni".

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( tomaza | 2008. 09. 30., k – 21:00 )

én (főleg) nem biztonsági megfontolásból, hanem net/proci "kímélésére" illetve adblock-ként (az adblock-ot kiegészítendően) használom

( Rt711 v | 2008. 09. 30., k – 21:11 )

Kb azóta használom, mióta megjelent Oscon blogján. A tapasztalataim jók, bár néha fárasztó.
Viszont:
Tudok linkelni olyan oldalt /portál/, melynek írói szépen kijátszották, ahoz, hogy fórumhozzászólást kövessen ez az ember, engedélyezni kell egy url-t, amiben semmi gyanus nincs aztán hopp, oldalt bekúszik a |\/|0gyi reklám. Szal, nem minden scriptet lát ám (nem tudom hogy csinálják, nem vagyok webprogramozó). Remélem feljavítják majd annyira, hogy "lássa" azokat a scripteket is.

( nc | 2008. 10. 01., sze – 11:28 )

Szerintem meg van az a hibája is az ilyeneknek, hogy hamis biztonságérzetet nyújt. A NoScript is megkerülhető, lásd pl. a flash xss sebezhetőséget, de a firefox hibái nagyobb veszélyt jelenthetnek, pl. a 3.0-ás verzió szeretett összeomlani úgy, hogy esetleg script futtatásra is lehetőséget ad.

noscript már kicsit kinőtt a korai verziókból. Beépülő modulokat (mint flash, silverlight, java) is tudja tiltani. ;-) Talán lesz egyszer hardenedflash, hardenedjava extension is . :-)))

Szerintem meg van az a hibája is az ilyeneknek, hogy hamis biztonságérzetet nyújt.

1. Akkor ne használd. Használd a firefoxot default alapbeállításokkal.
2. Mutass hatékonyabbat.

----------

r=1 vagyok, de ugatok...