O Firefox está menos vulnerável a explorar ao executar o NoScript?

Navegue suas respostas
2

O artigo intitulado "iPhone, IE, Firefox, Safari é invadido por um concurso de hackers" no The Register website discute que o Firefox pode ser explorado.

Eu me pergunto se o NoScript protege contra o tipo de exploits escritos; ou se o navegador pode ser explorado independentemente de ter a extensão carregada.

Alguma opinião? Pode tornar isso um wiki da comunidade, já que não é um problema simples / post de solução.

    
por PP. 29.03.2010 / 10:59

2 respostas

4

O site não entra em detalhes sobre exatamente quais exploits foram usados, então é impossível dizer se eles teriam sido impedidos pelo NoScripts.

NoScripts bloqueia a execução de todos os scripts JavaScript e de terceiros (como flash / sliverlight), deixando você com apenas HTML básico. Embora seja certamente possível que um bug de renderização em um navegador exponha uma vulnerabilidade em HTML puro, é muito menos provável que nenhum código seja especificamente executado da mesma maneira que com um mecanismo JavaScript. A área de superfície que pode ser atacada é drasticamente reduzida, portanto a probabilidade de encontrar um ataque bem-sucedido é menor.

A outra área a considerar, é claro, é que o ataque poderia ter como alvo o NoScripts. Há certamente uma chance de que o NoScripts possua erros que permitem a execução remota de código.

Finalmente, você precisa considerar as ações do usuário. Com que rigor os utilizadores verificam se um site é fidedigno antes de o colocar na lista de autorizações. Você realiza uma análise detalhada do código de um site e de todos os seus scripts antes de colocar na lista de permissões, ou apenas clica em permitir quando você vê "Este site requer JavaScript". Eu suspeito que provavelmente não seja difícil fazer a maioria dos usuários colocar o seu site na lista de permissões, e assim que isso for feito, você pode não estar executando o NoScripts.

    
por 26.12.2011 / 05:23
2

Eu dei uma olhada rápida nos Conselhos de segurança do Firefox 3.6 . Embora eu pudesse ter perdido alguns, 6 dos 13 avisos nessa página poderiam ser evitados ao desativar o JavaScript. Além disso, um dos restantes depende de fontes carregáveis, que o NoScript também bloqueia por padrão (é a opção "Forbid @ font-face" em seu diálogo de configuração).

Nas outras vezes em que olhei, era aproximadamente a mesma proporção: cerca de 50% das vulnerabilidades no Firefox dependiam do JavaScript.

Desabilitar o JavaScript também pode dificultar a exploração de outras vulnerabilidades, pois o invasor precisa criar um ataque que não precisa de JavaScript. Também é bastante provável que o invasor simplesmente não se importe e use JavaScript, mesmo que não seja necessário; afinal de contas, as pessoas que usam o NoScript tendem a ser do tipo consciente e atualizam o navegador assim que uma vulnerabilidade de segurança é anunciada.

E, finalmente, com o NoScript você pode permitir JavaScript em um site, mantendo os scripts desativados de outros domínios incluídos nele. Isso inclui servidores de anúncios de terceiros, código de acompanhamento de terceiros e exploração de JavaScript dentro de um iframe oculto na parte inferior da página que vem de outro domínio (esse último é comum a sites comprometidos).

    
por 29.03.2010 / 12:41

Tags

Existe um S.M.A.R.T. para flash drives? Encontrando interferência sem fio