NoScript

extension Firefox qui bloque le JavaScript

NoScript est une extension libre et open source pour Mozilla Firefox, SeaMonkey, Flock et autres navigateurs basés sur Mozilla. NoScript permet de bloquer les scripts JavaScript, Java, Flash et autres plugins des sites qui ne font pas partie de la liste blanche définie par l'utilisateur[2].

NoScript
Description de l'image NoScript.svg.
Description de l'image NoScript screenshot.png.
Informations
Développé par InformAction, Giorgio Maone
Première version
Dernière version 12.0.8 ()[1]Voir et modifier les données sur Wikidata
Dépôt github.com/hackademix/noscriptVoir et modifier les données sur Wikidata
État du projet En développement
Écrit en JavaScriptVoir et modifier les données sur Wikidata
Environnement Mozilla Firefox
Langues Multilingue : 45 (fr)
Type Bloqueur de l’exécution du JavaScript
Politique de distribution Gratuit
Licence Licence publique générale GNU version 2Voir et modifier les données sur Wikidata
Site web noscript.netVoir et modifier les données sur Wikidata

Fonctionnement

modifier

Sécurité et utilisation

modifier

Utiliser NoScript est relativement simple. Après l'installation, JavaScript, Java, Flash, Silverlight et les autres contenus exécutables sont par défaut bloqués dans le navigateur[3]. Ensuite, l'utilisateur peut explicitement permettre à ce type de contenu de s'exécuter, éventuellement de manière temporaire. Par rapport à une liste noire, le fonctionnement avec une liste blanche permet une défense plus efficace contre les exploitations des failles de sécurité.

NoScript se présente dans Firefox sous la forme d'un bouton discret dans la barre d'état, qui permet d'ouvrir un menu afin de configurer NoScript. L'utilisateur peut aussi afficher une barre d'outils. Lorsqu'un script est bloqué, une notification semblable à celle annonçant une pop up apparaît, autorisant l'utilisateur à maintenir le blocage ou à autoriser le script[4].

Fonctionnement de la liste blanche

modifier

La liste blanche est l'inventaire des sites dont les scripts sont autorisés. Un site faisant partie de la liste blanche a la permission d'utiliser tous les protocoles. L'utilisateur peut autoriser une adresse exacte, ce qui autorise implicitement tous les sous-répertoires, et autoriser un nom de domaine, ce qui a pour effet d'autoriser les pages appartenant à ce domaine ainsi qu'à tous les sous-domaines[5].

Les premières versions de NoScript ne bloquaient par défaut que le Javascript et le Java. Dans la dernière version, le Flash et autres plugins le sont aussi, afin d'éviter les attaques XSS basées sur Flash ainsi que l'exploitation des failles de différents plugins[6].

Liste noire

modifier

NoScript possède aussi un système de liste noire. Les sites présents dans la liste noire voient leur contenu bloqué au même titre qu'un site inconnu. En revanche, le blocage n'est pas notifié à l'utilisateur à chaque fois qu'un script tente de s'exécuter. Cette fonctionnalité est donc particulièrement utile en ce qui concerne les sites auxquels l'utilisateur est souvent confronté[7].

Protection contre XSS

modifier

NoScript protège contre les failles XSS basées sur le DOM et contre les attaques XSS dirigées vers des sites appartenant à la liste blanche. Lorsqu'un tel cas de figure se présente, l'utilisateur en est averti et peut éventuellement choisir de bloquer la requête soupçonnée d'être malicieuse. Les requêtes dont l'origine et la destination sont des sites de la liste blanche sont aussi filtrées[8].

Accueil

modifier

NoScript a été classé parmi les 100 meilleurs produits de 2006 par PC World[9].

Le principe de blocage par défaut et ses mises à jour fréquentes lui ont donné une réputation de sûreté : son utilisation a été qualifiée de pratique sûre de navigation sur Internet par le United States Computer Emergency Readiness Team[10]. Cependant, inscrire les sites dans la liste blanche peut s'avérer fastidieux pour un utilisateur classique, et les alertes de sécurité pénibles[11].

Par ailleurs, NoScript possède une liste blanche par défaut[12], en partie responsable d'un conflit avec Adblock Plus[13] : l'auteur de NoScript avait empêché Adblock Plus de fonctionner sur son propre site, afin de permettre l'affichage des publicités. Il est revenu sur cette décision et s'est excusé publiquement le [14].

Notes et références

modifier
  1. (en) Giorgio Maone (d), « Release 12.0.8 », (consulté le )
  2. (en) « NoScript What is it? », sur NoScript.net (consulté le ).
  3. (en) « JavaScript/Java/Flash blocker for a safer Firefox experience! », sur NoScript.net (consulté le ).
  4. (en) http://noscript.net/features#basics NoScript.net (consulté le 11 août 2009).
  5. (en) http://noscript.net/features#sitematching NoScript.net (consulté le 11 août 2009).
  6. (en) http://noscript.net/features#contentblocking NoScript.net (consulté le 11 août 2009).
  7. (en) http://noscript.net/features#blacklist NoScript.net (consulté le 11 août 2009).
  8. (en) http://noscript.net/features#xss NoScript.net (consulté le 11 août 2009).
  9. PC World Award pcworld.com (consulté le 11 août 2009).
  10. Securing Your Web Browser: NoScript, CERT.
  11. (en) Peter Smith, « Top 10 Firefox extensions to avoid » [archive du ], Computerworld, (consulté le ).
  12. (en) Georgio Maone, « Q: What websites are in the default whitelist and why? », sur FAQ du site officiel de NoScript (consulté le ).
  13. (en) Wladimir Palant, « Attention NoScript users first », (consulté le ).
  14. (en) Georgio Maone, « Dear Adblock Plus and NoScript Users, Dear Mozilla Community », sur Hackademix.net (consulté le ).

Annexes

modifier

Sur les autres projets Wikimedia :

Liens externes

modifier