2. Instalacja, usuwanie, migracja i aktualizacja
2.1 Jak zainstalować NoScript?
Przejdź do działu pobierania na stronie projektu i kliknij w zielony przycisk z napisem "Add to Firefox".
Następnie zezwól tej witrynie na instalację dodatku korzystając z przycisku na pasku informacji albo wykonując następujące kroki:
Otwórz Narzędzia > Opcje > Bezpieczeństwo.
Naciśnij przycisk "Wyjątki" obok Ostrzegaj, kiedy witryny próbują instalować dodatki.
Wpisz "noscript.net" w polu Adres witryny.
Wciśnij przycisk "Zezwól".
Ponów instalację.
Jeśli Firefox nie rozpoznaje plików xpi lub nie chce zainstalować rozszerzenia:
Otwórz about:config.
Znajdź zmienną xpinstall.enabled i ustaw jej wartość na true.
Zrestartuj Firefoksa i ponów instalację.
W razie komunikatu Invalid package error (w Firefoksie) lub Error -239 (w Mozilli lub SeaMonkey), wyczyść pamięć podręczną przeglądarki: Firefox > Narzędzia > Wyczyść dane prywatne lub odczekaj do ustąpienia problemów z połączeniem (spróbuj ponownie za pół godziny). Możesz także spróbować pobrać rozszerzenie za pomocą bezpośredniego odnośnika.
Jeśli jesteś użytkownikiem Mozilli lub SeaMonkey i napotkałeś inne problemy podczas próby instalacji, zapoznaj się z paragrafem 3.5 tego dokumentu.
Więcej informacji na powyższy temat oraz przydatne porady (np. "Error -203") można znaleźć w Bazie wiedzy Mozillazine.org.
Pamiętaj, że niektóe aplikacje zabezpieczające, jak na przykład ThreatFire, mogą blokować instalację niektórych dodatków w Firefoksie. Jeśli sądzisz, że coś podobnego może być przyczyną trudności podczas instalacji NoScript, spróbuj tymczasowo wyłączyć dodatkową ochronę.
2.2 Pobrałem plik XPI, co z nim zrobić?
Wystarczy go przeciągnąć i upuścić na otwarte okno przeglądarki lub Menedżera dodatków (Narzędzia > Dodatki druga karta od lewej Rozszerzenia).
2.3 Jak odinstalować NoScript?
Cóż, nie jest to zbyt często zadawane pytanie, niemniej jednak kogoś może to interesować...
Jeśli chcesz przywrócić domyślne zachowanie Firefoksa (mniej bezpieczne) domyślnie zezwalające na wykonywanie JavaScriptu i obiektów obsługiwanych przez wtyczki, ale chcesz zachować ochronę Anty-XSS i możliwość selektywnego oznaczania adresów jako niezaufane, wystarczy, że klikniesz ikonę NoScript i wybierzesz opcję "Wyłącz blokowanie skryptów (niebezpieczne)".
Jeśli jednak, z jakiś względów, chcesz odinstalować rozszerzenie, wykonaj poniższe wskazówki:
Jeśli korzystasz z Firefoksa, otwórz Menedżera rozszerzeń korzystając z menu Narzędzia > Dodatki i przechodząc na kartę Rozszerzenia.
Odszukaj i zaznacz "NoScript" na liście zainstalowanych rozszerzeń i naciśnij przycisk Odinstaluj.
W niektórych, ekstremalnie rzadkich przypadkach powyższa metoda nie działa, czytaj dalej, aby uzyskać pomoc.
Jeśli Menedżer dodatków nie otwiera się lub nie wyświetla zainstalowanych dodatków, najprawdopodobniej Twój profil uległ awarii, dowiedz się więcej na temat tworzenia kopii zapasowych profilu i migrowania ustawień.
Jeśli korzystasz z Mozilli lub SeaMonkey, zapoznaj się z tym artykułem.
Natomiast jeśli korzystasz z NoScript w Netscape 7.x, to masz kłopot. Netscape 7.x nie jest obsługiwany przez NoScript. Właściwie, to od dłuższego czasu nie jest wpierany przez nikogo. To zabytkowy program, którego poziom bezpieczeństwa zatrzymał się lata temu, dlatego też nie powinno się go używać, polecam przesiąść się na Firefoksa. W tym przypadku można jedynie ręcznie usunąć pliki NoScript z Netscape 7.x w następujący sposób:
Zamknij przeglądarkę korzystając z jej menu.
Odszukaj pliki i foldery zawierające w nazwie słowo "noscript".
Usuń odnalezione pliki, skrzyżuj palce na szczęście i uruchom ponownie przeglądarkę.
2.4 Gdzie są przechowywane moje ustawienia dla NoScript? Jak mogę stworzyć kopię zapasową konfiguracji i przenieść na inny komputer? Jak zresetować ustawienia NoScript?
Konfiguracja NoScript, włączając w to listy zaufanych i blokowanych witryn oraz inne ustawienia, jest przechowywane podobnie jak pozostałe preferencje Firefoksa, w profilu w pliku prefs.js). Tworząc kopię całego profilu tworzysz także kopię ustawień NoScript.
Jeśli chcesz utworzyć kopię listy zaufanych witryn w postaci pliku tekstowego, skorzystaj z przycisków Eksport i Importuj zlokalizowanych w NoScript > Opcje > Zaufane witryny. W tym samym oknie można także dodawać lub usuwać adresy z listy zaufanych.
Jeśli chcesz utworzyć kopię wszystkich ustawień NoScript, skorzystaj z przycisków Eksportuj i Importuj zlokalizowanych w NoScript > Opcje > Ogólne.
Jeśli chcesz automatycznie synchronizować wszystkie ustawienia NoScript pomiędzy różnymi komputerami, skorzysta z opcji Aby łatwo synchronizować ustawienia NoScript, utwórz kopię ustawień jako zakładkę w NoScript > Opcje > Ogólne i pozwól synchronizować zakładki za pomocą Mozilla Weave lub Xmarks.
2.5 Nie lubię być przekierowywany na stronę projektu po automatycznej aktualizacji NoScript. Czy można temu jakoś zaradzić?
Podczas pierwszego uruchomienia przeglądarki po świeżej instalacji lub aktualizacji NoScript, Firefox otwiera dodatkową kartę ze stroną projektu, gdzie można się zapoznać z informacjami o wydaniu, najnowszymi ogłoszeniami i wprowadzeniem do użytkowania NoScript (zawiera także odnośnik do FAQ...)
Można wyłączyć otwieranie strony projektu odznaczając w Opcjach pozycję "Display the release notes on update" na karcie "Powiadomienia".
Jeśli powyższa opcja nie zadziała lub gorzej, strona projektu będzie wyświetlana podczas każdego startu Firefoksa, najprawdopodobniej jakieś inne rozszerzenia blokuje możliwość zmiany preferencji. Standardowa diagnostyka powinna pomóc w ustaleniu przyczyny problemów lub przynajmniej je wyeliminować.
2.6 Uwielbiam NoScript, ale męczą mnie aktualizacje, co kilka dni, można je ograniczyć do jednej w miesiącu?
NoScript oprogramowanie z kategorii bezpieczeństwa komputerowego, jego zadaniem jest utrzymywanie bezpieczeństwa przeglądania WWW na najwyższym poziomie.
Oznacza to, że każde doniesienie o słabości przeglądarki internetowej, wykrycie nowego rodzaju zagrożeń lub błąd w NoScript (nie ma oprogramowania doskonałego), powoduje natychmiastową aktualizację NoScript, zgodnie z zapotrzebowaniem.
Codzienne aktualizacje zawierają poprawki kosmetyczne lub eksperymentalne funkcje i są dostępne pod adresem http://noscript.net/getit#devel, za to automatyczne aktualizacje dostarczane przez kanał addons.mozilla.org zawierają tylko "stabilne" wydania, zawierające ważne poprawki bezpieczeństwa lub duże zmiany w funkcjonalności.
Z dowolną częstotliwością, aby zwiększyć odstępy pomiędzy kolejnymi badaniami dostępności aktualizacji, można zmienić wartość extensions.update.interval w opcjach about:config.
Można także wyłączyć automatyczne aktualizacje NoScript tworząc nowy klucz w about:config o nazwie extensions.{73a6fe31-595d-460b-a920-fcc0f8843232}.update.enabled i nadając mu wartość false.
Natomiast, aby całkowicie wyłączyć automatyczne aktualizacje i stosować tylko ręczną instalację nowych wersji należy ustawić extensions.update.enabled w about:config na false.
Większą kontrolę na rozszerzeniami i ich aktualizacją daje rozszerzenie MR Tech's Local Install Mela Reyesa.
Nawet jeśli wyłączysz automatyczną aktualizację, możesz śledzić rozwój rozszerzenia za pomocą NoScript changelog feed.
Jeśli zaś nie przeszkadzają Ci automatyczne aktualizacje, ale masz dość wyświetlania informacji o wydaniu NoScript, zapoznaj się z FAQ 2.5.
NoScript - opis konfiguracji
Moderator: Pomocy?!
Posty: 26
• Strona 2 z 2 • 1, 2
Odp: NoScript - opis konfiguracji
autor: adjektiv » 28 listopada 2014, 17:41
Przeglądarka: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:33.0) Gecko/20100101 Firefox/33.0 Cyberfox/33.1.1
- adjektiv
- Posty: 26
- Z nami od: 05 lipca 2010, 10:38
Odp: NoScript - opis konfiguracji
autor: adjektiv » 28 listopada 2014, 17:42
Przeglądarka: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:33.0) Gecko/20100101 Firefox/33.0 Cyberfox/33.1.1
3. Problemy
3.1 Odkąd zainstalowałem NoScript zdarzają się awarie Firefoksa. Co mogę zrobić?
Zainstaluj najnowszą stabilną wersję Firefoksa. Firefox do wersji 1.0.4 włącznie, przez dwa lata posiadał bug, oznaczony numerem 217967, który powodował losowe awarie po zmianie zezwoleń dotyczących poziomu bezpieczeństwa. Nowsze wersje nie posiadają wspomnianego błędu i nie powodują awarii podczas zmiany zezwoleń.
Pamiętaj, że awarie występujące po zmianie zezwoleń mogą nie być winą NoScript, a wadliwie działających wtyczek, które po włączeniu JavaScriptu powodują zawieszenie lub wyłączenie przeglądarki.
Większość zgłoszeń tego typu sytuacji dotyczy wtyczek Windows Media Player, Yahoo Application State lub VLC.
3.2 Nie umiem znaleźć paska narzędziowego NoScripta. Gdzie on jest?
Kliknij prawym przyciskiem myszy na pasku narzędzi nawigacyjnych w Firefoksie i wybierz opcję "Dostosuj".
W nowym oknie odszukaj przycisk NoScript i przeciągnij go w dowolne miejsce na na pasek.
3.3 Nie mogę korzystać z webmaila (Hotmail, Gmail, inny), serwisów aukcyjnych (Allegro, Ebay) oraz konta w banku. Co się dzieje?
Wymienione serwisy intensywnie korzystają z JavaScriptu, także ramki z podstronami, które niekoniecznie mają ten sam URL jak strona logowania. Najprościej (nawet jeśli to nie najbezpieczniejsze) za pomocą menu kontekstowego NoScript dodać daną domenę do nieblokowanych (np. hotmail.com lub google.com), względnie konkretny adres URL. Wskaż wszystkie adres, co do których masz pewność, że są bezpieczne i zezwól im na wykonywanie JavaScriptu.
Przykładowe ustawienia:
Ebay: PPM > NoScript > Nie blokuj ebay.pl, pl.ebay.com, ebay.com, ebaystatic.com, ebayobjects.com, ebayrtm.com, ebaydesc.com, yahoo.com, about:blank
Yahoo: Nie blokuj yahoo.com, yimg.com, about:blank
Bloglines:, Nie blokuj bloglines.com, ask.com
3.4 Trafiłem na stronę z problematycznym klipem filmowym, jej otwarcie skutkuje komunikatem o nieprawidłowej operacji wtyczki Windows Media Player (WMP). Problem znika po odinstalowaniu NoScripta, o co chodzi?
To problem z wtyczką Windows Media Player (WMP), a nie NoScriptem. Na niektórych stronach, WMP wysypuje się bez obsługi JavaScriptu. Jeśli odinstalujesz NoScript, ale wyłączysz obsługę JavaScriptu w Firefoksie, błąd będzie się powtarzał. Problem można obejść wyłączając wtyczkę WMP na niezaufanych stronach, w NoScript > Opcje > Zaawansowane > Niezaufane > Blokuj inne wtyczki.
Bug ten naprawiono w najnowszej wersji wtyczki WMP dla Firefoksa, najlepiej ją po prostu zaktualizować.
3.5 Napotykam na niewielkie problemy z instalacją dodatku w Mozilla Suite (lub SeaMonkey). Po ściągnięciu, zaczyna się instalacja, ale w jej trakcie otrzymuję poniższy komunikatów:
- Prawdopodobnie nie posiadasz właściwych uprawnień (dostępu zapisu do katalogu profilu/chrome).
- OSTRZEŻENIE: CZĘŚCIOWA INSTALACJA
Z uwagi na ograniczenia Mozilli Suite oraz SeaMonkey 1 (brak obsługi rozszerzeń porównywalnej z Firefoksem), instalacja rozszerzenia dostarczającego własnych komponentów XPCOM (jak np. FlashGot, NoScript, FoxyTunes, ColorZilla i wiele innych) może być niewygodna.
Musisz posiadać dostęp do katalogu instalacyjnego Mozilla/SeaMonkey podczas instalacji rozszerzeń.
Możesz zatem:
Najpierw zainstalować NoScript jako użytkownik bez praw zapisu; po tej otrzymaniu ostrzeżenia o częściowej instalacji, zrestartuj SeaMonkey uruchamiając program jako administrator i zainstaluj rozszerzenie ponownie. Tym razem komponenty zostanę poprawnie zapisane, a NoScript będzie dostępny także dla użytkowników bez uprawnień do zapisu w katalogu głównym aplikacji.
Możesz też, zainstalować kopię programu w swoim katalogu domowym. W takim przypadku wystarczy instalacja rozszerzenia z własnego konta, nie będą potrzebne dodatkowe uprawnienia zapisu.
Pod Firefoksem nie ma tych problemów, bo komponenty XPCOM są instalowane w profilu (gdzie użytkownik zawsze posiada prawo zapisu plików).
SeaMonkey 2 (lub nowszym) problem również nie występuje.
3.6 Zaktualizowałem Mozilla Suite (lub SeaMonkey) do najnowszej wersji, przez co NoScript przestał działać. Wciąż widzę ikony i inne elementy dodatku, ale ich kliknięcie nic nie robi!
Z uwagi na ograniczenia Mozilli Suite oraz SeaMonkey 1 (brak obsługi rozszerzeń porówywalnej z Firefoksem), instalacja rozszerzenia dostarczającego własnych komponentów XPCOM (jak np. FlashGot, NoScript, FoxyTunes, ColorZilla i wiele innych) musi być ponowiona po każdej instalacji/aktualizacji przeglądarki.
Wystarczy przeinstalować NoScript dysponując uprawnieniami zapisu w katalogu instalacyjny (zobacz FAQ 3.5 by dowiedzieć się jak), a wszystko wrócić do porządku.
3.7 Mam kłopoty z Yahoo! Mail, które znikają po wyłączeniu NoScript lub po globalnej akceptacji wykonywania skryptów. Co należy zrobić, aby zezwolić na wykonywanie skryptów Yahoo?
Wystarczy z menu kontekstowego NoScript wybrać "Nie blokuj z":
yahoo.com
yimg.com
Zaawansowani użytkownicy mogą chcieć bardziej restrykcyjnych ustawień, powyższe zezwalają na uruchomienie skrytpów przez wszystkie usługi Yahoo.
Załączniki w Yahoo! Mail:
Yahoo! uruchamia pobieranie załączników w niewidzialnej ramce uruchamianej z innej domeny (zazwyczaj z IP rozpoczynających się od "216."). Jeśli załącznik jest plikiem obsługiwanym przez wtyczki Firefoksa (np. PDF, MP3 lub WMV), zostanie zablokowany przez NoScript. Po pierwszej nieudanej próbie pobierania, z menu NoScript wybierz Nie blokuj z 216.xxx.yyy.zzz. Kolejne załączniki w Yahoo! Mail będą już działać poprawnie.
Zauważ, że jeśli w NoScript > Opcje > Zaawansowane > Wtyczki zaznaczono opcję Zastosuj restrykcje do zaufanych witryn użytkownik nie ma opcji Nie blokuj w menu kontekstowym, zamiast niej musi skorzystać z Obiekty zablokowane > Tymczasowo nie blokuj z *@http://216.xxx.yyy.zzz.
3.8 Nie mogę skopiować ani wkleić sformatowanego tekstu z pól edytorów (np. webmailowego kompozytora wiadomości lub edytora CMS). Sugerowane rozwiązania (ustawienie preferencji capability.policy lub stosowanie rozszerzenia AllowClipboard Helper) nie działają. Czy powodem tych problemów jest NoScript?
Proponowane środki zaradcze są niekompatybilne z NoScriptem, jednak kopiowanie można włączyć, zaznaczając opcję Pozwalaj na kopiowanie/wklejanie z zewnętrznego schowka w formacie RTF w NoScript > Opcje > Zaawansowane. Nie zapomnij odinstalować rozszerzenia AllowClipboard Helper i usunąć wpisy związane ze schowkiem (capability.policy) z preferencji.
3.9 Posiadam obrazki lub zdjęcia na dysku twardy, które muszę wgrać na wskazany serwer (zwyczajny serwer gry). Jeśli NoScript jest włączony nie widzę swoich obrazków. Co mogę zrobić poza wyłączeniem NoScripta?
Zaznacz NoScript > Opcje > Zaawansowane > Zezwól na lokalne odnośniki.
3.10 Omyłkowo dodałem dobrą-stronę.com do listy zablokowanych (Niezaufane > Oznacz dobrą-stronę.com jako niezaufaną). Jak cofnąć lub zmienić mój wybór?
Wystarczy ponownie otworzyć menu tę samą stronę i z menu kontekstowego NoScript > Niezaufane wybrać Nie blokuj z dobra-strona.com.
3.11 Jeden ze skrótów klawiaturowych NoScripta zastąpił ważny skrót innego dodatku (np. Web Developer). Co mogę zrobić?
Skróty klawiaturowe NoScript zostały uważnie dobrane, tak by nie zastępować domyślnych skrótów klawiszowych Firefoksa (to trudne, ze względu na liczne wersje językowe) a także by nie przejmować skrótów większości rozszerzeń. Jednak liczba rozszerzeń idzie w tysiącach i ciągle rośnie, dlatego możliwe, że pewne dodatki się kłócą. Jeśli zaobserwowałeś podobną sytuację, możesz łatwo zdefiniować skróty klawiaturowe NoScripta edytując preferencje noscript.keys.* w about:config.
Domyślne ustawienia są następujące:
noscript.keys.toggle: ctrl shift VK_BACK_SLASH.|
noscript.keys.ui: ctrl shift S
Jak widać, skróty to kombinacje klawiszowe pomiędzy "ctrl", "shift", "alt" a literami i cyframi "A", "1", "Z" lub wirtualnymi kodami klawiszy (no. "VK_BACK_SPACE", "VK_X", "VK_Y"), oddzielone spacjami. Pokaż wykaz kodów
3.12 Po zainstalowaniu NoScripta, szwankuje dodatek ScrapBook. Co mogę zrobić?
Rozszerzenie ScrapBook korzysta z protokołu file://, który jest domyślnie blokowany przez NoScript. Dlatego jeśli bardzo potrzebujesz ScrapBooka z menu kontekstowego lub w oknie opcji NoScript wybierz Nie blokuj z file://.
3.13 Próba oznaczenie wszystkich wiadomości w http://www.bloglines.com/myblogs jako przeczytanych powoduje błąd.
Jak zapewne zauważyłeś, nawet nie blokowanie skryptów z www.bloglines.com nie pomaga.
Musisz dodać także tm.ask.com do listy zaufanych witryn. Jeśli problem będzie się potwarzał, dodaj także ask.com.
3.14 Dlaczego najnowsze wersje NoScripta blokują stosowanie XMLHttpRequest w konsoli Firebuga na niezaufanych stronach?
Firebug korzysta z różnych haków pozwalających na interaktywne wykonywanie JavaScript, gdy ten jest blokowany (np. przez NoScript). Niestety jeden z haków, pozwalający stosować XMLHttpRequest, jeśli zmienna noscript.forbidData w about:config ma wartość true. Wystarczy przemienić ją na false, by Firebug odzyskał pełnię możliwości.
Zauważ, że ta zmiana nie niesie ze sobą żadnego większego ryzyka, tak długo jak włączona jest ochrona XSS.
3.15 Dlaczego widuję adresy 127.0.0.1:1029 lub localhost:1029 (przy czym libcza "1029" jest tylko przykładem) w menu NoScripta prawie na każdej stronie, którą odwiedzam?
Najprawdopodobnie zapora ogniowa lub proxy wstrzykuje dodatkowy kod do otwieranych stron WWW.
Robi to np. ZoneAlarm z funkcją "Privacy Advisor".
Możesz wyłączyć te funkcję lub dodać pasujące porty (np. http://127.0.0.1:0) do listy zaufanych.
3.16 Firefox informuje mnie o nieodpowiadających skryptach na niektórych stronach lub podczas startu. Po wyłączeniu NoScripa problem znika. Co to oznacza?
Komunikat ten zwykle pojawia się na stronach z fatalnym kodem. Normalnie po zainstalowaniu NoScript tego typu komunikaty to rzadkość. Jednakże, NoScript nie blokuje skryptów ładowanych spoza stron (np. rozszerzenia, komponenty przeglądarki), jeśli któreś źle się zachowuje Firefox wyświetla komunikat.
Niektóe rozsezenia nie lubią wyłączonej obsługi JavaScriptu na stroanch internetowych, odmawiając działania. Niektóe zapętlają się i powodują wyświetlanie komunikatu o "Nieodpowiadającym skrypcie".
Dzieje się tak np. z rozszerzeniem Background Music (BGM), jeśli spotkasz się z tym problemem musisz wybrać: muzyka lub bezieczenstwo? W innych pzpadkach wykonaj Standardową Diagnostykę Firefoksa. Jeśli nie potrafisz znaleźć kłopotliwego rozszerzenia, zapoznaj się z dodatkowymi informacjami o zawieszających się skryptach.
3.17 Na niektórych stronach widzę niewielkie ikony NoScripta z odnośnikami po lewej. Myślałem, że można się ich pozbyć wyłączając opcję "Wyświetlaj ikonę zamiennika", jednak obiekty wciąż się pokazują... Jak je wyłączyć?
Nie jest to standardowy wypełniacz miejsca zajmowanego przez skrypt, lecz odnosniki do wykrytego JavaScriptu wczytywanego na pustych stronach lub ramkach. Jeśli chcesz wyłączyć ich wyświetlanie ustaw wartość noscript.jsredirectIgnore w about:config na true.
3.18 Galerie na smugmug.com nie działają nawet po dodaniu strony do listy zaufanych adresów. Co się dzieje?
Zainstaluj najnowszą wersję rozwojową NoScript. Jeśli problem nie ustąpi, zgłoś go.
3.19 Jak pogodzić działanie Evernote Web Clipper z NoScriptem?
Zainstaluj NoScript 1.8.9.6 lub nowszy. Jeśli problem nie ustąpi, zgłoś go.
3.20 Niektóre funkcje Ubiquity nie działają, gdy NoScript jest zainstalowany. Co mogę zrobić?
Większość funkcji Ubiquity działa bezproblemowa z zainstalowanym NoScriptem. Jednak niektóe akcje Ubiquity zależą od strony WWW, na której są wykonywane. W takim przypadku wykonywanie skryptów na tych stronach musi być dozwolone. Przykładowo: polecenie map wymaga dodania do listy zaufanych witryn:
about:ubiquity
mozilla.com
google.com (mapy pochodzą od Google)
j.maxmind.com (Ubiquity pobiera stąd skrypt geoip)
3.21 Dlaczego widuję reklamy na stronach, nawet po zainstalowaniu AdBlock Plusa z subskrypcją EasyList?
Od wersji 1.9.2.3, NoScript konfiguruje specjalną zmienną dotyczącą filtrów AdBlock Plusa "NoScript development support filterset", dodającą do wyjątków adresy noscript.net, flashgot.net, informaction.com oraz hackademix.net po tym jak zaatakowane spreparowanymi filtrami blokującymi z EasyList, które wyłączyły nawet tak podstawową funkcjonalność jak pobieranie z tamtejszych odnośników.
Od wersji 1.9.2.6 (wydanej 1 maja 2009 r.) filtry są automatycznie usuwane podczas startu. Blokowanie reklam zależy tylko i wyłącznie od filtrów Adblock Plusa zaaplikowanych przez użytkownika.
3.1 Odkąd zainstalowałem NoScript zdarzają się awarie Firefoksa. Co mogę zrobić?
Zainstaluj najnowszą stabilną wersję Firefoksa. Firefox do wersji 1.0.4 włącznie, przez dwa lata posiadał bug, oznaczony numerem 217967, który powodował losowe awarie po zmianie zezwoleń dotyczących poziomu bezpieczeństwa. Nowsze wersje nie posiadają wspomnianego błędu i nie powodują awarii podczas zmiany zezwoleń.
Pamiętaj, że awarie występujące po zmianie zezwoleń mogą nie być winą NoScript, a wadliwie działających wtyczek, które po włączeniu JavaScriptu powodują zawieszenie lub wyłączenie przeglądarki.
Większość zgłoszeń tego typu sytuacji dotyczy wtyczek Windows Media Player, Yahoo Application State lub VLC.
3.2 Nie umiem znaleźć paska narzędziowego NoScripta. Gdzie on jest?
Kliknij prawym przyciskiem myszy na pasku narzędzi nawigacyjnych w Firefoksie i wybierz opcję "Dostosuj".
W nowym oknie odszukaj przycisk NoScript i przeciągnij go w dowolne miejsce na na pasek.
3.3 Nie mogę korzystać z webmaila (Hotmail, Gmail, inny), serwisów aukcyjnych (Allegro, Ebay) oraz konta w banku. Co się dzieje?
Wymienione serwisy intensywnie korzystają z JavaScriptu, także ramki z podstronami, które niekoniecznie mają ten sam URL jak strona logowania. Najprościej (nawet jeśli to nie najbezpieczniejsze) za pomocą menu kontekstowego NoScript dodać daną domenę do nieblokowanych (np. hotmail.com lub google.com), względnie konkretny adres URL. Wskaż wszystkie adres, co do których masz pewność, że są bezpieczne i zezwól im na wykonywanie JavaScriptu.
Przykładowe ustawienia:
Ebay: PPM > NoScript > Nie blokuj ebay.pl, pl.ebay.com, ebay.com, ebaystatic.com, ebayobjects.com, ebayrtm.com, ebaydesc.com, yahoo.com, about:blank
Yahoo: Nie blokuj yahoo.com, yimg.com, about:blank
Bloglines:, Nie blokuj bloglines.com, ask.com
3.4 Trafiłem na stronę z problematycznym klipem filmowym, jej otwarcie skutkuje komunikatem o nieprawidłowej operacji wtyczki Windows Media Player (WMP). Problem znika po odinstalowaniu NoScripta, o co chodzi?
To problem z wtyczką Windows Media Player (WMP), a nie NoScriptem. Na niektórych stronach, WMP wysypuje się bez obsługi JavaScriptu. Jeśli odinstalujesz NoScript, ale wyłączysz obsługę JavaScriptu w Firefoksie, błąd będzie się powtarzał. Problem można obejść wyłączając wtyczkę WMP na niezaufanych stronach, w NoScript > Opcje > Zaawansowane > Niezaufane > Blokuj inne wtyczki.
Bug ten naprawiono w najnowszej wersji wtyczki WMP dla Firefoksa, najlepiej ją po prostu zaktualizować.
3.5 Napotykam na niewielkie problemy z instalacją dodatku w Mozilla Suite (lub SeaMonkey). Po ściągnięciu, zaczyna się instalacja, ale w jej trakcie otrzymuję poniższy komunikatów:
- Prawdopodobnie nie posiadasz właściwych uprawnień (dostępu zapisu do katalogu profilu/chrome).
- OSTRZEŻENIE: CZĘŚCIOWA INSTALACJA
Z uwagi na ograniczenia Mozilli Suite oraz SeaMonkey 1 (brak obsługi rozszerzeń porównywalnej z Firefoksem), instalacja rozszerzenia dostarczającego własnych komponentów XPCOM (jak np. FlashGot, NoScript, FoxyTunes, ColorZilla i wiele innych) może być niewygodna.
Musisz posiadać dostęp do katalogu instalacyjnego Mozilla/SeaMonkey podczas instalacji rozszerzeń.
Możesz zatem:
Najpierw zainstalować NoScript jako użytkownik bez praw zapisu; po tej otrzymaniu ostrzeżenia o częściowej instalacji, zrestartuj SeaMonkey uruchamiając program jako administrator i zainstaluj rozszerzenie ponownie. Tym razem komponenty zostanę poprawnie zapisane, a NoScript będzie dostępny także dla użytkowników bez uprawnień do zapisu w katalogu głównym aplikacji.
Możesz też, zainstalować kopię programu w swoim katalogu domowym. W takim przypadku wystarczy instalacja rozszerzenia z własnego konta, nie będą potrzebne dodatkowe uprawnienia zapisu.
Pod Firefoksem nie ma tych problemów, bo komponenty XPCOM są instalowane w profilu (gdzie użytkownik zawsze posiada prawo zapisu plików).
SeaMonkey 2 (lub nowszym) problem również nie występuje.
3.6 Zaktualizowałem Mozilla Suite (lub SeaMonkey) do najnowszej wersji, przez co NoScript przestał działać. Wciąż widzę ikony i inne elementy dodatku, ale ich kliknięcie nic nie robi!
Z uwagi na ograniczenia Mozilli Suite oraz SeaMonkey 1 (brak obsługi rozszerzeń porówywalnej z Firefoksem), instalacja rozszerzenia dostarczającego własnych komponentów XPCOM (jak np. FlashGot, NoScript, FoxyTunes, ColorZilla i wiele innych) musi być ponowiona po każdej instalacji/aktualizacji przeglądarki.
Wystarczy przeinstalować NoScript dysponując uprawnieniami zapisu w katalogu instalacyjny (zobacz FAQ 3.5 by dowiedzieć się jak), a wszystko wrócić do porządku.
3.7 Mam kłopoty z Yahoo! Mail, które znikają po wyłączeniu NoScript lub po globalnej akceptacji wykonywania skryptów. Co należy zrobić, aby zezwolić na wykonywanie skryptów Yahoo?
Wystarczy z menu kontekstowego NoScript wybrać "Nie blokuj z":
yahoo.com
yimg.com
Zaawansowani użytkownicy mogą chcieć bardziej restrykcyjnych ustawień, powyższe zezwalają na uruchomienie skrytpów przez wszystkie usługi Yahoo.
Załączniki w Yahoo! Mail:
Yahoo! uruchamia pobieranie załączników w niewidzialnej ramce uruchamianej z innej domeny (zazwyczaj z IP rozpoczynających się od "216."). Jeśli załącznik jest plikiem obsługiwanym przez wtyczki Firefoksa (np. PDF, MP3 lub WMV), zostanie zablokowany przez NoScript. Po pierwszej nieudanej próbie pobierania, z menu NoScript wybierz Nie blokuj z 216.xxx.yyy.zzz. Kolejne załączniki w Yahoo! Mail będą już działać poprawnie.
Zauważ, że jeśli w NoScript > Opcje > Zaawansowane > Wtyczki zaznaczono opcję Zastosuj restrykcje do zaufanych witryn użytkownik nie ma opcji Nie blokuj w menu kontekstowym, zamiast niej musi skorzystać z Obiekty zablokowane > Tymczasowo nie blokuj z *@http://216.xxx.yyy.zzz.
3.8 Nie mogę skopiować ani wkleić sformatowanego tekstu z pól edytorów (np. webmailowego kompozytora wiadomości lub edytora CMS). Sugerowane rozwiązania (ustawienie preferencji capability.policy lub stosowanie rozszerzenia AllowClipboard Helper) nie działają. Czy powodem tych problemów jest NoScript?
Proponowane środki zaradcze są niekompatybilne z NoScriptem, jednak kopiowanie można włączyć, zaznaczając opcję Pozwalaj na kopiowanie/wklejanie z zewnętrznego schowka w formacie RTF w NoScript > Opcje > Zaawansowane. Nie zapomnij odinstalować rozszerzenia AllowClipboard Helper i usunąć wpisy związane ze schowkiem (capability.policy) z preferencji.
3.9 Posiadam obrazki lub zdjęcia na dysku twardy, które muszę wgrać na wskazany serwer (zwyczajny serwer gry). Jeśli NoScript jest włączony nie widzę swoich obrazków. Co mogę zrobić poza wyłączeniem NoScripta?
Zaznacz NoScript > Opcje > Zaawansowane > Zezwól na lokalne odnośniki.
3.10 Omyłkowo dodałem dobrą-stronę.com do listy zablokowanych (Niezaufane > Oznacz dobrą-stronę.com jako niezaufaną). Jak cofnąć lub zmienić mój wybór?
Wystarczy ponownie otworzyć menu tę samą stronę i z menu kontekstowego NoScript > Niezaufane wybrać Nie blokuj z dobra-strona.com.
3.11 Jeden ze skrótów klawiaturowych NoScripta zastąpił ważny skrót innego dodatku (np. Web Developer). Co mogę zrobić?
Skróty klawiaturowe NoScript zostały uważnie dobrane, tak by nie zastępować domyślnych skrótów klawiszowych Firefoksa (to trudne, ze względu na liczne wersje językowe) a także by nie przejmować skrótów większości rozszerzeń. Jednak liczba rozszerzeń idzie w tysiącach i ciągle rośnie, dlatego możliwe, że pewne dodatki się kłócą. Jeśli zaobserwowałeś podobną sytuację, możesz łatwo zdefiniować skróty klawiaturowe NoScripta edytując preferencje noscript.keys.* w about:config.
Domyślne ustawienia są następujące:
noscript.keys.toggle: ctrl shift VK_BACK_SLASH.|
noscript.keys.ui: ctrl shift S
Jak widać, skróty to kombinacje klawiszowe pomiędzy "ctrl", "shift", "alt" a literami i cyframi "A", "1", "Z" lub wirtualnymi kodami klawiszy (no. "VK_BACK_SPACE", "VK_X", "VK_Y"), oddzielone spacjami. Pokaż wykaz kodów
3.12 Po zainstalowaniu NoScripta, szwankuje dodatek ScrapBook. Co mogę zrobić?
Rozszerzenie ScrapBook korzysta z protokołu file://, który jest domyślnie blokowany przez NoScript. Dlatego jeśli bardzo potrzebujesz ScrapBooka z menu kontekstowego lub w oknie opcji NoScript wybierz Nie blokuj z file://.
3.13 Próba oznaczenie wszystkich wiadomości w http://www.bloglines.com/myblogs jako przeczytanych powoduje błąd.
Jak zapewne zauważyłeś, nawet nie blokowanie skryptów z www.bloglines.com nie pomaga.
Musisz dodać także tm.ask.com do listy zaufanych witryn. Jeśli problem będzie się potwarzał, dodaj także ask.com.
3.14 Dlaczego najnowsze wersje NoScripta blokują stosowanie XMLHttpRequest w konsoli Firebuga na niezaufanych stronach?
Firebug korzysta z różnych haków pozwalających na interaktywne wykonywanie JavaScript, gdy ten jest blokowany (np. przez NoScript). Niestety jeden z haków, pozwalający stosować XMLHttpRequest, jeśli zmienna noscript.forbidData w about:config ma wartość true. Wystarczy przemienić ją na false, by Firebug odzyskał pełnię możliwości.
Zauważ, że ta zmiana nie niesie ze sobą żadnego większego ryzyka, tak długo jak włączona jest ochrona XSS.
3.15 Dlaczego widuję adresy 127.0.0.1:1029 lub localhost:1029 (przy czym libcza "1029" jest tylko przykładem) w menu NoScripta prawie na każdej stronie, którą odwiedzam?
Najprawdopodobnie zapora ogniowa lub proxy wstrzykuje dodatkowy kod do otwieranych stron WWW.
Robi to np. ZoneAlarm z funkcją "Privacy Advisor".
Możesz wyłączyć te funkcję lub dodać pasujące porty (np. http://127.0.0.1:0) do listy zaufanych.
3.16 Firefox informuje mnie o nieodpowiadających skryptach na niektórych stronach lub podczas startu. Po wyłączeniu NoScripa problem znika. Co to oznacza?
Komunikat ten zwykle pojawia się na stronach z fatalnym kodem. Normalnie po zainstalowaniu NoScript tego typu komunikaty to rzadkość. Jednakże, NoScript nie blokuje skryptów ładowanych spoza stron (np. rozszerzenia, komponenty przeglądarki), jeśli któreś źle się zachowuje Firefox wyświetla komunikat.
Niektóe rozsezenia nie lubią wyłączonej obsługi JavaScriptu na stroanch internetowych, odmawiając działania. Niektóe zapętlają się i powodują wyświetlanie komunikatu o "Nieodpowiadającym skrypcie".
Dzieje się tak np. z rozszerzeniem Background Music (BGM), jeśli spotkasz się z tym problemem musisz wybrać: muzyka lub bezieczenstwo? W innych pzpadkach wykonaj Standardową Diagnostykę Firefoksa. Jeśli nie potrafisz znaleźć kłopotliwego rozszerzenia, zapoznaj się z dodatkowymi informacjami o zawieszających się skryptach.
3.17 Na niektórych stronach widzę niewielkie ikony NoScripta z odnośnikami po lewej. Myślałem, że można się ich pozbyć wyłączając opcję "Wyświetlaj ikonę zamiennika", jednak obiekty wciąż się pokazują... Jak je wyłączyć?
Nie jest to standardowy wypełniacz miejsca zajmowanego przez skrypt, lecz odnosniki do wykrytego JavaScriptu wczytywanego na pustych stronach lub ramkach. Jeśli chcesz wyłączyć ich wyświetlanie ustaw wartość noscript.jsredirectIgnore w about:config na true.
3.18 Galerie na smugmug.com nie działają nawet po dodaniu strony do listy zaufanych adresów. Co się dzieje?
Zainstaluj najnowszą wersję rozwojową NoScript. Jeśli problem nie ustąpi, zgłoś go.
3.19 Jak pogodzić działanie Evernote Web Clipper z NoScriptem?
Zainstaluj NoScript 1.8.9.6 lub nowszy. Jeśli problem nie ustąpi, zgłoś go.
3.20 Niektóre funkcje Ubiquity nie działają, gdy NoScript jest zainstalowany. Co mogę zrobić?
Większość funkcji Ubiquity działa bezproblemowa z zainstalowanym NoScriptem. Jednak niektóe akcje Ubiquity zależą od strony WWW, na której są wykonywane. W takim przypadku wykonywanie skryptów na tych stronach musi być dozwolone. Przykładowo: polecenie map wymaga dodania do listy zaufanych witryn:
about:ubiquity
mozilla.com
google.com (mapy pochodzą od Google)
j.maxmind.com (Ubiquity pobiera stąd skrypt geoip)
3.21 Dlaczego widuję reklamy na stronach, nawet po zainstalowaniu AdBlock Plusa z subskrypcją EasyList?
Od wersji 1.9.2.3, NoScript konfiguruje specjalną zmienną dotyczącą filtrów AdBlock Plusa "NoScript development support filterset", dodającą do wyjątków adresy noscript.net, flashgot.net, informaction.com oraz hackademix.net po tym jak zaatakowane spreparowanymi filtrami blokującymi z EasyList, które wyłączyły nawet tak podstawową funkcjonalność jak pobieranie z tamtejszych odnośników.
Od wersji 1.9.2.6 (wydanej 1 maja 2009 r.) filtry są automatycznie usuwane podczas startu. Blokowanie reklam zależy tylko i wyłącznie od filtrów Adblock Plusa zaaplikowanych przez użytkownika.
- adjektiv
- Posty: 26
- Z nami od: 05 lipca 2010, 10:38
Odp: NoScript - opis konfiguracji
autor: adjektiv » 28 listopada 2014, 17:43
Przeglądarka: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:33.0) Gecko/20100101 Firefox/33.0 Cyberfox/33.1.1
4. XSS
4.1 Co to jest XSS i czy należy się go obawiać?
Cross-site scripting (XSS) to sposób ataku polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. NoScript zabezpieczaa użytkownika przed atakami XSS, blokując wstrzykiwanie kodu JavaScript przez niezaufane witryny do zaufanych, czyniąc listę zaufanych całkowicie odporną. Jedny zagrożenie dla użytkowników NoScript, może wynikać z dodania do zaufanych witryn strony podatnej na atak XSS, atakujący może za jej pośrednictwem wykonać dowolny skrypt.
4.2 Wygląda na to, że zabezpieczenie Anti-XSS powoduje problemy z adreami zawierającymi pewne znaki specjalne, jak <, ' lub ". O co chodzi?
Jeśli podąrzasz za odnośnikiem z niezaufanej witrny prowadzącym d zaufanej witryny,, jest to prawidłowe działanie. Blokowana jest możliwość wstrzyknięcia złośliwego kodu w stronie docelowej.
Sposoby obejścia:
Usuń stronę docelową z listy zaufanych witryn.Zazwyczaj to najlepsza i najbezpieczniejsza opcja, o ile strona ta nie wymaga obsługi JavaScriptu, także najmąrzejszy wybór dla stron z zawartością tworzoną przez użytkowników, np. fora lub Wikipedia, ponieważ zapobiega atakom persistent XSS (jednorazowe wykorzystanie może posłużyć do naruszenia bezpieczeństwa kont tysięcy użytkowników).
Kliknij przycisk "Opcje" i wybierz XSS > Unsafe Reload z menu kontekstowego, by powtórzyć podejrzane żądanie.
(Tymczasowo) dodaj stronę źródłową do listy zaufanych. Tylko jeśli (choćby tymczasowo) ufasz danej stronie i jest ona bezpieczniejsza niż #1 i #2*
Znawcy mogą sektywnie wyłączyć zabeziecznia Anti-XSS dla wybranych witryn.
Żądania typu cross-site z zaufanej witryny względem innej zaufanej witryny są kontrolowane przez silnik InjectionChecker, który waliduje tylko żądania z podejrzanymi fragmentami HTML lub JavaScriptu.
4.3 Czy mogę wyłączyć powiadomienia o działaniu Anti-XSS?
Tak, możesz. Wystarczy zmienić ustawienie w NoScript > Opcje > Powiadomienia > XSS. W dalszym ciągu możliwe będzie monitorowanie aktywności Anti-XSS za pomocą Konsoli błędów, a także dodatkowego menu "XSS" w menu kontekstowym NoScriptna stronach, na których dojdzie do wykrycia próby ataku XSS, a także za pomocą powiadomień na pasku stanu.
4.4 Czy mogę pomijać filtry Anti-XSS dla wybranych stron WWW?
Zaawansowani użytkownicy wiedzą jak zrobić użytek z wyrażeń regularnych względem witryn nie stanowiących zagrożenia, w NoScript > Opcje > Zaawansowane > XSS > Wjątki zabezpieczeń Anty-XSS.
Przykładowo, jeśli często korzystasz z "zaawansowanego szukania" na Ebay, które bywa blokowane ze względu na podobieństwo składni do JavaScript, możesz dodać witrynę do wyjątków:
^http://[\w\-\.]*\bsearch[\w\-\.]*\.ebay\.(?:com|pl|co\.uk)[\/\?]
Zauważ, że "pl" oraz "co\.uk" oznaczają polską i brytyjską domenę Ebay, jeśli korzystasz z innych lokalizacji dobierz poprawne kody państw.
4.5 Czy mogę wyłączyć ochronę Anti-XSS?
Mimo, że nie jest to zalecana w przypadku standardowego użytkownia, można tymczasowo wyłączyć zabezpiecznie Anty-XSS, np. na czas testów. Aby to zrobić otwórz NoScript > Opcje > Zaawansowane i przełącz opcję usuwa podejrzane żądania.
4.6 Dlaczego NoScript blokuje dokumenty ładowane z odnośników jar:?
Jako element zabezpieczenia Anty-XSS, NoScript od wersji 1.1.7.8 zapobiega ładowaniu zasobów z plików JAR. Zobacz Beford's proof of concept exploiting Google, the original GNUCITIZEN disclosure oraz bug 369814, aby bliżej zapoznać się ze szkodliwością wczytywania zasobów z plików JAR.
Blokowanie wczytywania z plików JAR można kontrolować w NoScript > Opcje > Zaawansowane > JAR. Zauważ, że ta funkcja nie zależy od listy zaufanych witryn, to znaczy blokowane są wsyzstkie strony, niezależnie czy znajdują się na liście zaufanych czy nie.
4.7 Dlaczego obiekty Flash z zaufanych adresów (np. youtube.com) są blokowane na niezaufanych stronach?
Ataki XSS mogą być przeprowadzane przez osadzanie obiektów Flash z zaufanych witryn na niezaufanych witrynach. NoScript zapobiega tego typu atakom, blokując embedowanei obiektów obsługiwanych przez wtyczki na niezaufanych witrynach, nawet jeśli te pochodzą z zaufanych źródeł. Bez problemu można je uruchomić na żądanie użytkownika bez dodawania witryny z zagnieżdżonym obiektem do listy zaufanych, wystarczy kliknąć na wypełniacz z ikoną NoScript. Jeśli wolisz, by obiekty z zaufanych witryn były uruchamiane automatycznie także na niezaufanych witrnych, musisz zmienić wartość noscript.forbidActiveContentParentTrustCheck w about:config na false.
4.8 Jak działa blokowanie IFrame i dlaczego jest wyłączone w domyślnej konfiguracji?
Blokowanie apletów IFrame jest domyślnie wyłączone w swoim wczesnym stadium rozwoju powodowało zbyt wiele nieporozumień, podczas gdy blokowanie obiektów w połączeniu z ochroną Anty-XSS, i tak zapobiega większości ataków z wykorzystaniem ramek. Niemniej jednak funkcja ta został dobrze dopracowana i jest już znacznie bardziej używalna, zwłąszcza po dodaniu menu Zablokowane obiekty i wygodnych wypełniaczy ułatwiających uruchomienie lub załadowanie zablokowanych elementów.
Od spopularyzowania ataków clickjacking, włączenie blokowania ramek to dobry pomysł.
Blokowanie pływających ramek włączone w NoScript > Opcje > Wtyczki > Blokuj aplety IFRAME działa następująco:
Aplety IFRAME zagnieżdzone na niezaufanych stronach są zawsze blokowane blocked, chyba że wczytują zawartość z tego samego adresu, co strona je zawierająca
Aplety IFRAME zagnieżdżone na zaufanych stronach są blokowane, jeśli próbują wczytać zawartość z niezaufanych witryn
Jeśli w NoScript > Opcje > Wtyczki włączono Zastosuj te ograniczenia także do zaufanych wityn, żaden aplet IFRAME nie będzie załadowany o ile nie wczytuje zawartości z tego samego adresu, co strona, na której jest zagnieżdżony
We wszystkich przypadkach wczytywania zawartości IFRAME z tego samago adresu, co strona na której jest zagnieżdżony są dozwolone*
Jeśli aplet IFRAME został zablokowany, w jego miescu widać żółty klikalny wypełniacz, dzięki któremu można sprawdzić URL, zapisać dokument bez jego otwierania lub go aktywować.
* jeśli chcesz blokować wszystkie pływające ramki, także te wczytwane z tego samego adresu, co strona, na któej są zagnieżdżone, ustaw wartość noscript.forbidIFramesContext w about:config na 0 (zero)
4.1 Co to jest XSS i czy należy się go obawiać?
Cross-site scripting (XSS) to sposób ataku polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. NoScript zabezpieczaa użytkownika przed atakami XSS, blokując wstrzykiwanie kodu JavaScript przez niezaufane witryny do zaufanych, czyniąc listę zaufanych całkowicie odporną. Jedny zagrożenie dla użytkowników NoScript, może wynikać z dodania do zaufanych witryn strony podatnej na atak XSS, atakujący może za jej pośrednictwem wykonać dowolny skrypt.
4.2 Wygląda na to, że zabezpieczenie Anti-XSS powoduje problemy z adreami zawierającymi pewne znaki specjalne, jak <, ' lub ". O co chodzi?
Jeśli podąrzasz za odnośnikiem z niezaufanej witrny prowadzącym d zaufanej witryny,, jest to prawidłowe działanie. Blokowana jest możliwość wstrzyknięcia złośliwego kodu w stronie docelowej.
Sposoby obejścia:
Usuń stronę docelową z listy zaufanych witryn.Zazwyczaj to najlepsza i najbezpieczniejsza opcja, o ile strona ta nie wymaga obsługi JavaScriptu, także najmąrzejszy wybór dla stron z zawartością tworzoną przez użytkowników, np. fora lub Wikipedia, ponieważ zapobiega atakom persistent XSS (jednorazowe wykorzystanie może posłużyć do naruszenia bezpieczeństwa kont tysięcy użytkowników).
Kliknij przycisk "Opcje" i wybierz XSS > Unsafe Reload z menu kontekstowego, by powtórzyć podejrzane żądanie.
(Tymczasowo) dodaj stronę źródłową do listy zaufanych. Tylko jeśli (choćby tymczasowo) ufasz danej stronie i jest ona bezpieczniejsza niż #1 i #2*
Znawcy mogą sektywnie wyłączyć zabeziecznia Anti-XSS dla wybranych witryn.
Żądania typu cross-site z zaufanej witryny względem innej zaufanej witryny są kontrolowane przez silnik InjectionChecker, który waliduje tylko żądania z podejrzanymi fragmentami HTML lub JavaScriptu.
4.3 Czy mogę wyłączyć powiadomienia o działaniu Anti-XSS?
Tak, możesz. Wystarczy zmienić ustawienie w NoScript > Opcje > Powiadomienia > XSS. W dalszym ciągu możliwe będzie monitorowanie aktywności Anti-XSS za pomocą Konsoli błędów, a także dodatkowego menu "XSS" w menu kontekstowym NoScriptna stronach, na których dojdzie do wykrycia próby ataku XSS, a także za pomocą powiadomień na pasku stanu.
4.4 Czy mogę pomijać filtry Anti-XSS dla wybranych stron WWW?
Zaawansowani użytkownicy wiedzą jak zrobić użytek z wyrażeń regularnych względem witryn nie stanowiących zagrożenia, w NoScript > Opcje > Zaawansowane > XSS > Wjątki zabezpieczeń Anty-XSS.
Przykładowo, jeśli często korzystasz z "zaawansowanego szukania" na Ebay, które bywa blokowane ze względu na podobieństwo składni do JavaScript, możesz dodać witrynę do wyjątków:
^http://[\w\-\.]*\bsearch[\w\-\.]*\.ebay\.(?:com|pl|co\.uk)[\/\?]
Zauważ, że "pl" oraz "co\.uk" oznaczają polską i brytyjską domenę Ebay, jeśli korzystasz z innych lokalizacji dobierz poprawne kody państw.
4.5 Czy mogę wyłączyć ochronę Anti-XSS?
Mimo, że nie jest to zalecana w przypadku standardowego użytkownia, można tymczasowo wyłączyć zabezpiecznie Anty-XSS, np. na czas testów. Aby to zrobić otwórz NoScript > Opcje > Zaawansowane i przełącz opcję usuwa podejrzane żądania.
4.6 Dlaczego NoScript blokuje dokumenty ładowane z odnośników jar:?
Jako element zabezpieczenia Anty-XSS, NoScript od wersji 1.1.7.8 zapobiega ładowaniu zasobów z plików JAR. Zobacz Beford's proof of concept exploiting Google, the original GNUCITIZEN disclosure oraz bug 369814, aby bliżej zapoznać się ze szkodliwością wczytywania zasobów z plików JAR.
Blokowanie wczytywania z plików JAR można kontrolować w NoScript > Opcje > Zaawansowane > JAR. Zauważ, że ta funkcja nie zależy od listy zaufanych witryn, to znaczy blokowane są wsyzstkie strony, niezależnie czy znajdują się na liście zaufanych czy nie.
4.7 Dlaczego obiekty Flash z zaufanych adresów (np. youtube.com) są blokowane na niezaufanych stronach?
Ataki XSS mogą być przeprowadzane przez osadzanie obiektów Flash z zaufanych witryn na niezaufanych witrynach. NoScript zapobiega tego typu atakom, blokując embedowanei obiektów obsługiwanych przez wtyczki na niezaufanych witrynach, nawet jeśli te pochodzą z zaufanych źródeł. Bez problemu można je uruchomić na żądanie użytkownika bez dodawania witryny z zagnieżdżonym obiektem do listy zaufanych, wystarczy kliknąć na wypełniacz z ikoną NoScript. Jeśli wolisz, by obiekty z zaufanych witryn były uruchamiane automatycznie także na niezaufanych witrnych, musisz zmienić wartość noscript.forbidActiveContentParentTrustCheck w about:config na false.
4.8 Jak działa blokowanie IFrame i dlaczego jest wyłączone w domyślnej konfiguracji?
Blokowanie apletów IFrame jest domyślnie wyłączone w swoim wczesnym stadium rozwoju powodowało zbyt wiele nieporozumień, podczas gdy blokowanie obiektów w połączeniu z ochroną Anty-XSS, i tak zapobiega większości ataków z wykorzystaniem ramek. Niemniej jednak funkcja ta został dobrze dopracowana i jest już znacznie bardziej używalna, zwłąszcza po dodaniu menu Zablokowane obiekty i wygodnych wypełniaczy ułatwiających uruchomienie lub załadowanie zablokowanych elementów.
Od spopularyzowania ataków clickjacking, włączenie blokowania ramek to dobry pomysł.
Blokowanie pływających ramek włączone w NoScript > Opcje > Wtyczki > Blokuj aplety IFRAME działa następująco:
Aplety IFRAME zagnieżdzone na niezaufanych stronach są zawsze blokowane blocked, chyba że wczytują zawartość z tego samego adresu, co strona je zawierająca
Aplety IFRAME zagnieżdżone na zaufanych stronach są blokowane, jeśli próbują wczytać zawartość z niezaufanych witryn
Jeśli w NoScript > Opcje > Wtyczki włączono Zastosuj te ograniczenia także do zaufanych wityn, żaden aplet IFRAME nie będzie załadowany o ile nie wczytuje zawartości z tego samego adresu, co strona, na której jest zagnieżdżony
We wszystkich przypadkach wczytywania zawartości IFRAME z tego samago adresu, co strona na której jest zagnieżdżony są dozwolone*
Jeśli aplet IFRAME został zablokowany, w jego miescu widać żółty klikalny wypełniacz, dzięki któremu można sprawdzić URL, zapisać dokument bez jego otwierania lub go aktywować.
* jeśli chcesz blokować wszystkie pływające ramki, także te wczytwane z tego samego adresu, co strona, na któej są zagnieżdżone, ustaw wartość noscript.forbidIFramesContext w about:config na 0 (zero)
- adjektiv
- Posty: 26
- Z nami od: 05 lipca 2010, 10:38
Odp: NoScript - opis konfiguracji
autor: adjektiv » 28 listopada 2014, 17:43
Przeglądarka: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:33.0) Gecko/20100101 Firefox/33.0 Cyberfox/33.1.1
5. Porady i sztuczki
5.1 Nie chcę dodawać forum.mozillazine.org (dowolnego forum) do listy zaufanych adresów. Wszystko działa jak należy, za wyjątkiem "Szybkiej odpowiedzi" i paska formatowania wypowiedzi. Oczywiście wiem o możliwości tymczasowego dopuszczenia wykonywania JavaSciptu, ale takie rozwiązanie jest denerwujące. Co mogę zrobić?
Jeśli korzystasz z Greasemonkey możesz doinstalować skrypt dedykowany wygodniejszej obsłudze tego forum.
5.2 Gdy zwolenę na wykonywanie JavaScriptu, część lub wszystkie kart i okna są przeładowywane, co czasami jest denerwujące. Wiem o możliwości wyłączenia automatycznego przeładowywania stron za pomocą NoScript > Opcje > Ogólne, czy można wyłączyć przeładowywanie dla otwartych w tle kart i okien, stosując odświeżanie zawartości WWW tylko dla aktywnej karty
Tak można: wystarczy przełączyć wartość zmiennej noscript.autoreload.allTabs w about:config na false. Można też zmodyfikować zmienną noscript.autoreload.global: wartość false wyłączy automatyczne przeładowywanie po globalnym zezwoleniu na skrypty.
Poniżej znajduje się lista wszystkich związanych z odświeżaniem stron opcji NoScipt:
noscript.autoReload
włącza/wyłącza automatyczne przeładowywanie dla dowolnej akcji
noscript.autoReload.global
włącza/wyłącza automatyczne przeładowywanie dla Wyłącz blokowanie skryptów
noscript.autoReload.allTabs
jeśli ustawione na false, przeładowywana jest tylko aktywna karta
noscript.autoReload.allTabsOnGlobal
jeśli ustawione na false (domyślnie), tylko aktywna karta jest przeładowywana po globalnym zezwoleniu na wykonywanie skryptów
noscript.autoReload.allTabsOnPageAction
jeśli ustawione na false, tylko aktywna karta jest przeładowywana po zbiorczym zezwoleniu (np. Nie blokuj z...)
5.3 Nie działają filmy na YouTube. Dlaczego strona informuje o konieczności włączenia JavaScriptu i Flasha, nawet wtedy, gdy zezwolono na nie na youtube.com?
YouTube dostacza materiałów wideo korzystając z dwóch domen. Dlatego też należy zezwolić obu youtube.com i ytimg.com na wykonywanie skryptów i prezentowanie obiektów Flash.
5.4 Martwi mnie, że niektóre strony wymagają dodania do listy zaufanych witryn domeny akamai.net. Wolabym jej nie zezwalać wszedzie, a jedynie na kilku stronach, którym ufam. Jak mogę to zrobić?
Akamai przydziela każdemu klientowi unikalną poddomenę, np. a248.e.akamai.net. Dletego, jesli nie chcesz dodać wszystkich poddomen akamai.net, wystarczy że dodasz konkretne poddomeny wykorzystywane na stronach, którym ufasz. Podpowiedź: Korzystając z NoScript > Opcje > Wygląd > Nie blokuj z ... (pełna domena) szybko i wygodnie dodasz konkrente domeny do zaufanych.
5.5 Dlaczego menu NoScripta znika automatycznie po tym, jak zezwolę/zabronię danej stronie wykonywać skrypty?
NoScript 1.8.4 wprowadził długo oczekiwane ułatwienia pozwalające kontrolować skrypty pochodzące z różnych źródeł na jednej stronie, dzięki tak zwanemy "przyklejanemu" interfejsowi. Teraz otwierając menu NoScript za pomocą lewego przycisku myszy na ikonie rozszerzenia lub za pomocą skrótu klawiaturowego ctrk-shift-S, przyklejamy menu, dzięki czemu można wykonać kilka operacji (zezwolić na tymczasowe wykonywanie skryptów z jednego adresu, a następnie dodać inny do niezaufanych) bez konieczności każdorazowego otwierania menu. Po zmianie ustawień wystarczy kliknąć kursorem myszy poza obszarem menu lub wcisnąć klawisz Esc. Dopiero zamknięcie menu spowoduje przeładowanie strony.
W dalszym ciągu można korzystać z tradycyjnego menu po wyłonieniu go prawym przyciskiem myszy. Można też trwale wyłączyć przyklejanie menu, wystarczy zmienić wartość zmiennej noscript.stickyUI w about:config na false. Dodatkowo zmieniając noscript.stickyUI.onKeyboard można wyłączyć przyklejanie menu wyłanianego skrótem klawiaturowym.
Kolejną interesującą zmienną jest noscript.stickyUI.liveReload, która odpowiada za przeładowywanie po każdorazowej zmianie zezwoleń na pojedynczej stronie nawet, gdy menu pozostaje przyklejone (domyślnie ustawione na false).
5.1 Nie chcę dodawać forum.mozillazine.org (dowolnego forum) do listy zaufanych adresów. Wszystko działa jak należy, za wyjątkiem "Szybkiej odpowiedzi" i paska formatowania wypowiedzi. Oczywiście wiem o możliwości tymczasowego dopuszczenia wykonywania JavaSciptu, ale takie rozwiązanie jest denerwujące. Co mogę zrobić?
Jeśli korzystasz z Greasemonkey możesz doinstalować skrypt dedykowany wygodniejszej obsłudze tego forum.
5.2 Gdy zwolenę na wykonywanie JavaScriptu, część lub wszystkie kart i okna są przeładowywane, co czasami jest denerwujące. Wiem o możliwości wyłączenia automatycznego przeładowywania stron za pomocą NoScript > Opcje > Ogólne, czy można wyłączyć przeładowywanie dla otwartych w tle kart i okien, stosując odświeżanie zawartości WWW tylko dla aktywnej karty
Tak można: wystarczy przełączyć wartość zmiennej noscript.autoreload.allTabs w about:config na false. Można też zmodyfikować zmienną noscript.autoreload.global: wartość false wyłączy automatyczne przeładowywanie po globalnym zezwoleniu na skrypty.
Poniżej znajduje się lista wszystkich związanych z odświeżaniem stron opcji NoScipt:
noscript.autoReload
włącza/wyłącza automatyczne przeładowywanie dla dowolnej akcji
noscript.autoReload.global
włącza/wyłącza automatyczne przeładowywanie dla Wyłącz blokowanie skryptów
noscript.autoReload.allTabs
jeśli ustawione na false, przeładowywana jest tylko aktywna karta
noscript.autoReload.allTabsOnGlobal
jeśli ustawione na false (domyślnie), tylko aktywna karta jest przeładowywana po globalnym zezwoleniu na wykonywanie skryptów
noscript.autoReload.allTabsOnPageAction
jeśli ustawione na false, tylko aktywna karta jest przeładowywana po zbiorczym zezwoleniu (np. Nie blokuj z...)
5.3 Nie działają filmy na YouTube. Dlaczego strona informuje o konieczności włączenia JavaScriptu i Flasha, nawet wtedy, gdy zezwolono na nie na youtube.com?
YouTube dostacza materiałów wideo korzystając z dwóch domen. Dlatego też należy zezwolić obu youtube.com i ytimg.com na wykonywanie skryptów i prezentowanie obiektów Flash.
5.4 Martwi mnie, że niektóre strony wymagają dodania do listy zaufanych witryn domeny akamai.net. Wolabym jej nie zezwalać wszedzie, a jedynie na kilku stronach, którym ufam. Jak mogę to zrobić?
Akamai przydziela każdemu klientowi unikalną poddomenę, np. a248.e.akamai.net. Dletego, jesli nie chcesz dodać wszystkich poddomen akamai.net, wystarczy że dodasz konkretne poddomeny wykorzystywane na stronach, którym ufasz. Podpowiedź: Korzystając z NoScript > Opcje > Wygląd > Nie blokuj z ... (pełna domena) szybko i wygodnie dodasz konkrente domeny do zaufanych.
5.5 Dlaczego menu NoScripta znika automatycznie po tym, jak zezwolę/zabronię danej stronie wykonywać skrypty?
NoScript 1.8.4 wprowadził długo oczekiwane ułatwienia pozwalające kontrolować skrypty pochodzące z różnych źródeł na jednej stronie, dzięki tak zwanemy "przyklejanemu" interfejsowi. Teraz otwierając menu NoScript za pomocą lewego przycisku myszy na ikonie rozszerzenia lub za pomocą skrótu klawiaturowego ctrk-shift-S, przyklejamy menu, dzięki czemu można wykonać kilka operacji (zezwolić na tymczasowe wykonywanie skryptów z jednego adresu, a następnie dodać inny do niezaufanych) bez konieczności każdorazowego otwierania menu. Po zmianie ustawień wystarczy kliknąć kursorem myszy poza obszarem menu lub wcisnąć klawisz Esc. Dopiero zamknięcie menu spowoduje przeładowanie strony.
W dalszym ciągu można korzystać z tradycyjnego menu po wyłonieniu go prawym przyciskiem myszy. Można też trwale wyłączyć przyklejanie menu, wystarczy zmienić wartość zmiennej noscript.stickyUI w about:config na false. Dodatkowo zmieniając noscript.stickyUI.onKeyboard można wyłączyć przyklejanie menu wyłanianego skrótem klawiaturowym.
Kolejną interesującą zmienną jest noscript.stickyUI.liveReload, która odpowiada za przeładowywanie po każdorazowej zmianie zezwoleń na pojedynczej stronie nawet, gdy menu pozostaje przyklejone (domyślnie ustawione na false).
- adjektiv
- Posty: 26
- Z nami od: 05 lipca 2010, 10:38
Odp: NoScript - opis konfiguracji
autor: adjektiv » 28 listopada 2014, 17:44
Przeglądarka: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:33.0) Gecko/20100101 Firefox/33.0 Cyberfox/33.1.1
6. HTTPS
6.1 Co to jest HTTPS i dlaczego jest tak ważny dla użytkowników NoScript?
HTTPS to skrót z "Hypertext Transfer Protocol over Secure Socket Layer", czyli szyfrowana wersja protokołu HTTP. Zamiast używać w komunikacji klient-serwer niezaszyfrowanego tekstu, szyfruje go za pomocą protokołu SSL. Zapobiega to przechwytywaniu i zmienianiu przesyłanych danych. Jeśli witryna posługuje się ważnym certyfikatem bezpieczeństwa, poprawnie rozpoznanym i zweryfikowanym przez przeglądarkę, użytkownik może być pewien, że witryna należy do dysponenta certyfikatu. Strony korzystające HTTPS można rozpoznać po: adresie - zawsze rozpoczynającym się się od "https://". Firefox wyróżnia część paska adresowego na niebiesko lub zielono i prezentuje w nim informacje o właścicielu witryny oraz wyświetla ikonę kłódki na pasku stanu. Za srawą odpowiednich reguł w userChrome.css może także zmieniać kolor całego paska adresowego w zależności od poziomu zabezpieczeń, jaki prezentują odwiadzane strony. Zabezpieczenia NoScripta w większości bazują zezwoleniach dla zaufanych domen, jednak część szkodliwy witryn może obejść listę zaufanych. Tego typu oszustwa mogą być dokonywane za pomocą akatków DNS Hijacking lub przez łączenie przez niezaufane serwery proxy, w tym wiele stron anonimizujących przeglądanie, włączając w to Tor. Można zmniejszyć ryzyko stosując stałą, bezpieczną konfiurację DNS, np. OpenDNS lub Comodo DNS, nawet kiedy używasz laptopa z dala od domu. Niezaufani dostawcy połączeń internetowych i proxy są trudniejsi do zablokowania, ponieważ pośrednicząc pomiędzy użytkownikiem a internetem mogą wstrzykiwać dowolną zawartość do dowolnych niezabezpieczonych (nie-HTTPS) stron internetowych. Część dostawców wyświetla w ten sposób własne reklamy, obniżając swoje koszty utrzymania. Aby zminimalizować tego typu niebezpieczeństwa, można ustawić NoScript, aby honorował listę zaufanych witryn tylko, jeśli aktywna strona jest serwowana przez połączenie HTTPS. Dodatkowo, NoScript może pomóc wymusić stosowanie HTTPS na niektórych witrynach oraz zmniejszyć ryzyko kradzieży ciasteczek.
6.2 Jak w NoScript zezwalać na skrypty tylko zaufanym stronom serwowanym przez HTTPS?
Otwóz NoScript > Opcje > Zaawansowane > HTTPS > Zachowanie, rozwiń listę Działanie aktywnej zawartości, łącznie z pochodzącą z bezpiecznego połączenia i wybierz:
Dopuszczaj - wszystkie strony zawarte w liście zauanych witryn mogą uruchamiać aktywną zawartość.
Nie dopuszczaj, gdy jest używane proxy (zalecane przy używaniu Tor) - tylko zaufane witryny łączące się przez HTTPS mogą ruchamiać aktywną zawartość przechodząc przez proxy.
Nie dopuszczaj - zawartość żadnej strony załadowanej przez czyste połączenie HTTP lub FTP nie jest dopuszczana.
6.3 Czy NoScript może wymuszać na niektórych stronach używania połączenia HTTPS?
Tak, otwórz NoScript > Opcje > Zaawansowane > HTTPS > Zachowanie, wpisz adresy stron w polu "zawsze stosuj bezpieczne połączenia z następującymi witrynami".
Możesz stosować pełne adresu oddzielone spacjami lub wyrażeń zastępowalnych, przykładowo *.noscript.net. Jeśli, w przykładzie, chcesz wymusić stosowanie połączeń HTTPS w aplikacjach Google poza Wyszukiwarką i iGoogle, możesz dodać
*.google.com
w sekcji wymuszeń stosowania i
www.google.com/search www.google.com/ig
w sekcji wymuszeń nie stosowania (całość można też zapisać w postaci wyrażenia regularnego
^https?://www\.google\.com/(?:search|ig)\b.*
).
6.4 Jak NoScript przeciwdziała przejmowaniu ciasteczek HTTPS?
Kradzieże ciasteczek HTTPS zdarzają się, gdy witryna ustawi wrażliwe ciasteczko (np. identyfikujące autoryzowaną sesję) przez połączenie HTTPS, ale "zapomina" oznaczyć je jako "bezpieczne". Oznacza to, możliwość wycieku niezabezpieczonym połączeniem (nie-HTTPS) przez tę witrynę, nawet jeśli zalogowano się w bezpieczny sposób. NoScript przeciwdziała temu problemowi na wiele sposobów, możliwych do ustalenia w NoScript > Opcje > Zaawansowane > HTTPS > Ciasteczka. Jeśli wybrano opcję Zarządzaj automatycznie bezpiecznymi ciasteczkami, NoScript będzie w locie "poprawiał" niezabezpieczone ciasteczka zainstalowane przez połączenia HTTPS:
Jeśli adres strony został dodany do listy "Ignoruj niebezpieczne...", NoScript pozwoli zainstalować nietknięte ciaseczka
Jeśli adres strony został dodany do listy "Stosuj szyfrowanie ciasteczek...", NoScript doda flagę ";Secure" do każdego niezabezpieczonego ciasteczka
W pozostałych przypadkach, NoScript odnotuje instalację niezabezpeczonego ciasteczka ALE jeśli ciasteczko jest instalowane z połączenia HTTPS obok innego niezabezpieczonego ciasteczka z tej witryny, NoScript poprawi wszystkie ciasteczka, dodając flagę ";Secure", jak w punkcie drugim. Jednakże, jeśli przejście z szyfrowanej do nieszyfrowanej części witryny (któe dzielą wspólne ciasteczko) odbędzie w tej samej karcie, NoScript usunie flagę ";Secure", aby zapewnić kompatybilność. Gdy to nastąpi, wydarzenie zostanie odnotowane w konsoli błędów, wraz z zaleceniem, aby wymusić połączenie HTTPS dla danej witryny w HTTPS > Zachowanie > lista "Zawsze stosuj bezpieczne połączenia z następującymi witrynami".
6.5 Odkąd włączyłem opcję Zarządzaj automatycznie bezpiecznymi ciasteczkami, nie mogę się zalogować na niektórych stronach. Co się dzieje?
Niektóre strony internetowe wykorzystują skomplikowaną infrastrukturę z zależnościami pomiędzy odmiennymi doemenami, stosując logowanie przez kanał HTTPS z certyfikatem dla danego adresu, muszą jednocześie zezwalać na uwierzytelnianie przez inną domen, która nie obsługuje protokołu HTTPS. W szczególnie skomplikowanych przypadkach NoScript nie zadziała poprawnie, uniemożliwiając logowanie. Wówczas użytkownik ma dwie opcje:
Jeśli się spieszy, może wyłączyć Automatyczne zarządzanei bezpiecznymi ciasteczkami, wyczyścić ciasteczka (przynajmniej te z witryny, do której próbuje się zalogować) otwierając w Firefokse Opcje > Prywatność > Ciasteczka i potwierdzając logowanie.
Jeśli dysponuje kilko minutami na zbadanie danego przypadku, może
sprawdzić co zwraca Narzędzia > Konsola błędów, chodzi o linijki zaczynające się od "[NoScript HTTPS] AUTOMATIC SECURE on https://www.jakasstrona.com";
otworzyć NoScript > Opcje > Zaawansowane > HTTPS > Ciasteczka i dodać "*.jakasstrona.com" (bez znaków cudzysłowiu) do listy Ignoruj niebezpieczne ciasteczka...;
Zamkąć Opcje NoScript za pomocą "OK", wyczyścić ciasteczka (przynajmniej te odwołujące się do jakasstrona.com) w Firefoksie Opcje > Prywatność > Ciasteczka i zalogować się ponownie.
Jeśli przykładowo nie możesz się zalogować na www.ebay.com, problem można rozwiązać dodając *.ebay.com do NoScript > Opcje > Zaawansowan > HTTPS > Ciasteczka > Ignoruj niebezpieczne ciasteczka... i ponowną ich instalację. Jeśli problem zdarza się na http://twitter.com (zauważ, że w adresie brak "www."), musisz dodać oba adresy twitter.com i *.twitter.com, dla domeny i poddomen.
Niezależnie od wybranego rozwiązania, powinieneś przesłać je autorowi rozszerzenia do analizy, wraz z wszystkimi błędami [NoScript HTTPS] z Konsoli błedów (usuwając tokeny).
6.1 Co to jest HTTPS i dlaczego jest tak ważny dla użytkowników NoScript?
HTTPS to skrót z "Hypertext Transfer Protocol over Secure Socket Layer", czyli szyfrowana wersja protokołu HTTP. Zamiast używać w komunikacji klient-serwer niezaszyfrowanego tekstu, szyfruje go za pomocą protokołu SSL. Zapobiega to przechwytywaniu i zmienianiu przesyłanych danych. Jeśli witryna posługuje się ważnym certyfikatem bezpieczeństwa, poprawnie rozpoznanym i zweryfikowanym przez przeglądarkę, użytkownik może być pewien, że witryna należy do dysponenta certyfikatu. Strony korzystające HTTPS można rozpoznać po: adresie - zawsze rozpoczynającym się się od "https://". Firefox wyróżnia część paska adresowego na niebiesko lub zielono i prezentuje w nim informacje o właścicielu witryny oraz wyświetla ikonę kłódki na pasku stanu. Za srawą odpowiednich reguł w userChrome.css może także zmieniać kolor całego paska adresowego w zależności od poziomu zabezpieczeń, jaki prezentują odwiadzane strony. Zabezpieczenia NoScripta w większości bazują zezwoleniach dla zaufanych domen, jednak część szkodliwy witryn może obejść listę zaufanych. Tego typu oszustwa mogą być dokonywane za pomocą akatków DNS Hijacking lub przez łączenie przez niezaufane serwery proxy, w tym wiele stron anonimizujących przeglądanie, włączając w to Tor. Można zmniejszyć ryzyko stosując stałą, bezpieczną konfiurację DNS, np. OpenDNS lub Comodo DNS, nawet kiedy używasz laptopa z dala od domu. Niezaufani dostawcy połączeń internetowych i proxy są trudniejsi do zablokowania, ponieważ pośrednicząc pomiędzy użytkownikiem a internetem mogą wstrzykiwać dowolną zawartość do dowolnych niezabezpieczonych (nie-HTTPS) stron internetowych. Część dostawców wyświetla w ten sposób własne reklamy, obniżając swoje koszty utrzymania. Aby zminimalizować tego typu niebezpieczeństwa, można ustawić NoScript, aby honorował listę zaufanych witryn tylko, jeśli aktywna strona jest serwowana przez połączenie HTTPS. Dodatkowo, NoScript może pomóc wymusić stosowanie HTTPS na niektórych witrynach oraz zmniejszyć ryzyko kradzieży ciasteczek.
6.2 Jak w NoScript zezwalać na skrypty tylko zaufanym stronom serwowanym przez HTTPS?
Otwóz NoScript > Opcje > Zaawansowane > HTTPS > Zachowanie, rozwiń listę Działanie aktywnej zawartości, łącznie z pochodzącą z bezpiecznego połączenia i wybierz:
Dopuszczaj - wszystkie strony zawarte w liście zauanych witryn mogą uruchamiać aktywną zawartość.
Nie dopuszczaj, gdy jest używane proxy (zalecane przy używaniu Tor) - tylko zaufane witryny łączące się przez HTTPS mogą ruchamiać aktywną zawartość przechodząc przez proxy.
Nie dopuszczaj - zawartość żadnej strony załadowanej przez czyste połączenie HTTP lub FTP nie jest dopuszczana.
6.3 Czy NoScript może wymuszać na niektórych stronach używania połączenia HTTPS?
Tak, otwórz NoScript > Opcje > Zaawansowane > HTTPS > Zachowanie, wpisz adresy stron w polu "zawsze stosuj bezpieczne połączenia z następującymi witrynami".
Możesz stosować pełne adresu oddzielone spacjami lub wyrażeń zastępowalnych, przykładowo *.noscript.net. Jeśli, w przykładzie, chcesz wymusić stosowanie połączeń HTTPS w aplikacjach Google poza Wyszukiwarką i iGoogle, możesz dodać
*.google.com
w sekcji wymuszeń stosowania i
www.google.com/search www.google.com/ig
w sekcji wymuszeń nie stosowania (całość można też zapisać w postaci wyrażenia regularnego
^https?://www\.google\.com/(?:search|ig)\b.*
).
6.4 Jak NoScript przeciwdziała przejmowaniu ciasteczek HTTPS?
Kradzieże ciasteczek HTTPS zdarzają się, gdy witryna ustawi wrażliwe ciasteczko (np. identyfikujące autoryzowaną sesję) przez połączenie HTTPS, ale "zapomina" oznaczyć je jako "bezpieczne". Oznacza to, możliwość wycieku niezabezpieczonym połączeniem (nie-HTTPS) przez tę witrynę, nawet jeśli zalogowano się w bezpieczny sposób. NoScript przeciwdziała temu problemowi na wiele sposobów, możliwych do ustalenia w NoScript > Opcje > Zaawansowane > HTTPS > Ciasteczka. Jeśli wybrano opcję Zarządzaj automatycznie bezpiecznymi ciasteczkami, NoScript będzie w locie "poprawiał" niezabezpieczone ciasteczka zainstalowane przez połączenia HTTPS:
Jeśli adres strony został dodany do listy "Ignoruj niebezpieczne...", NoScript pozwoli zainstalować nietknięte ciaseczka
Jeśli adres strony został dodany do listy "Stosuj szyfrowanie ciasteczek...", NoScript doda flagę ";Secure" do każdego niezabezpieczonego ciasteczka
W pozostałych przypadkach, NoScript odnotuje instalację niezabezpeczonego ciasteczka ALE jeśli ciasteczko jest instalowane z połączenia HTTPS obok innego niezabezpieczonego ciasteczka z tej witryny, NoScript poprawi wszystkie ciasteczka, dodając flagę ";Secure", jak w punkcie drugim. Jednakże, jeśli przejście z szyfrowanej do nieszyfrowanej części witryny (któe dzielą wspólne ciasteczko) odbędzie w tej samej karcie, NoScript usunie flagę ";Secure", aby zapewnić kompatybilność. Gdy to nastąpi, wydarzenie zostanie odnotowane w konsoli błędów, wraz z zaleceniem, aby wymusić połączenie HTTPS dla danej witryny w HTTPS > Zachowanie > lista "Zawsze stosuj bezpieczne połączenia z następującymi witrynami".
6.5 Odkąd włączyłem opcję Zarządzaj automatycznie bezpiecznymi ciasteczkami, nie mogę się zalogować na niektórych stronach. Co się dzieje?
Niektóre strony internetowe wykorzystują skomplikowaną infrastrukturę z zależnościami pomiędzy odmiennymi doemenami, stosując logowanie przez kanał HTTPS z certyfikatem dla danego adresu, muszą jednocześie zezwalać na uwierzytelnianie przez inną domen, która nie obsługuje protokołu HTTPS. W szczególnie skomplikowanych przypadkach NoScript nie zadziała poprawnie, uniemożliwiając logowanie. Wówczas użytkownik ma dwie opcje:
Jeśli się spieszy, może wyłączyć Automatyczne zarządzanei bezpiecznymi ciasteczkami, wyczyścić ciasteczka (przynajmniej te z witryny, do której próbuje się zalogować) otwierając w Firefokse Opcje > Prywatność > Ciasteczka i potwierdzając logowanie.
Jeśli dysponuje kilko minutami na zbadanie danego przypadku, może
sprawdzić co zwraca Narzędzia > Konsola błędów, chodzi o linijki zaczynające się od "[NoScript HTTPS] AUTOMATIC SECURE on https://www.jakasstrona.com";
otworzyć NoScript > Opcje > Zaawansowane > HTTPS > Ciasteczka i dodać "*.jakasstrona.com" (bez znaków cudzysłowiu) do listy Ignoruj niebezpieczne ciasteczka...;
Zamkąć Opcje NoScript za pomocą "OK", wyczyścić ciasteczka (przynajmniej te odwołujące się do jakasstrona.com) w Firefoksie Opcje > Prywatność > Ciasteczka i zalogować się ponownie.
Jeśli przykładowo nie możesz się zalogować na www.ebay.com, problem można rozwiązać dodając *.ebay.com do NoScript > Opcje > Zaawansowan > HTTPS > Ciasteczka > Ignoruj niebezpieczne ciasteczka... i ponowną ich instalację. Jeśli problem zdarza się na http://twitter.com (zauważ, że w adresie brak "www."), musisz dodać oba adresy twitter.com i *.twitter.com, dla domeny i poddomen.
Niezależnie od wybranego rozwiązania, powinieneś przesłać je autorowi rozszerzenia do analizy, wraz z wszystkimi błędami [NoScript HTTPS] z Konsoli błedów (usuwając tokeny).
- adjektiv
- Posty: 26
- Z nami od: 05 lipca 2010, 10:38
Odp: NoScript - opis konfiguracji
autor: adjektiv » 28 listopada 2014, 17:51
Przeglądarka: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:33.0) Gecko/20100101 Firefox/33.0 Cyberfox/33.1.1
faq7 brak
- adjektiv
- Posty: 26
- Z nami od: 05 lipca 2010, 10:38
Posty: 26
• Strona 2 z 2 • 1, 2
Wróć do Rozszerzenia dla Firefoksa
Kto jest online
Zarejestrowani użytkownicy: Baidu [Spider], Bing [Bot], dexter, Google [Bot]