Firefox NoScript-guiden du alle har ventet på
- Kategori: Firefox
Oppdater : Vi har publisert en ny NoScript-guide for Firefox 57 og nyere .
En av de viktigste grunnene til at jeg bruker Firefox nettleser på min stasjonære PC og ikke en annen nettleser, er at NoScript-utvidelsen bare er tilgjengelig for den nettleseren.
NoScript gjør hva navnet tilsier, det blokkerer skript fra å kjøres automatisk på alle de fleste nettsteder. Dette øker sikkerheten betydelig, ettersom de fleste angrep som kjøres på nettsteder krever skript for å være effektive. Det vil også forbedre lastetidene for sidene i gjennomsnitt, ettersom mindre innhold må lastes når NoScript er aktivert.
Ulempen med dette er at nettstedsfunksjonaliteten kanskje ikke fungerer som den skal på utvalgte nettsteder. Siden skript er blokkert som standard, kan et nettsted ganske enkelt ikke fungere i det hele tatt, eller bare delvis med NoScript installert.
Utvidelsen tilbyr kontroller for å løse dette problemet, siden du kan la skript kjøres midlertidig eller permanent på nettsteder.
Et annet problem er at skriptet er blokkert på domenenivå. De fleste nettsteder laster inn skript fra forskjellige kilder. Først fra sitt eget domene, men også fra tredjepartsservere, for eksempel for å vise annonser, bruke sporingsskripter eller for å gjøre bruk av en hostet versjon av jquery.
Det er ofte vanskelig å si hvilke skript som kreves for et nettstedets kjernefunksjonalitet, og hvilke ikke. Dette gjelder spesielt for Internett-brukere som har liten erfaring når det gjelder domener, nettstedsteknologier og skript.
NoScript-konfigurasjonen
NoScript-ut-boksen-opplevelsen er ganske bra. Du kan bruke den uten modifikasjoner, men hvis du vil få mest mulig ut av tillegget, kan det være lurt å gå gjennom alternativene minst en gang for å sikre at alt er konfigurert på en optimal måte.
Som jeg nevnte tidligere, blokkerer NoScript skript på de fleste nettsteder som standard. Utvidelsen leveres med en hvitliste for domener, noe som betyr at nettstedene du finner her har lov til å kjøre skript de er vert for på sitt eget domene.
Sidespiss : NoScript skiller mellom rotdomener og underdomener. Domener som addons.mozilla.org og mozilla.org blir håndtert som forskjellige domener av utvidelsen.
Blant listen over domener som er hvitelistet, er addons.mozilla.org, google.com, googleapis.com, live.com, hotmail.com, outlook.com eller paypal.com.
Du kan fjerne hvilket som helst av de hviteliste nettstedene under Hviteliste i NoScript-alternativene.
Mitt forslag vil være å fjerne domener som du ikke vil ha oppført her. Jeg anbefaler imidlertid å forlate Firefox interne sider på listen, siden du vil støte på problemer ellers.
Her kan du også importere eller eksportere utvalget, nyttig hvis du bruker Firefox på flere enheter og vil bruke den samme hvitelisten.
Den andre konfigurasjonsendringen du kanskje vil gjøre, gjelder NoScript-ikonet. Det kan være lurt å plassere den på et sted du lett kan få tilgang til.
Jeg har plassert mine i tilleggsfeltet, men med fjerning av linjen i Firefox Australis (versjon 29 er målet) kan du også plassere den på hovedverktøylinjen i nettleseren.
Et annet alternativ du har er å bruke hurtigmenyen i stedet eksklusivt for det. NoScript legger til en oppføring til Firefox høyreklikk-kontekstmeny som du kan bruke til å tillate eller avvise nettsteder, eller for å åpne alternativene og andre funksjoner i utvidelsen.
Hvis du bruker ikonet, kan du bruke et par smarte funksjoner utvikleren har innebygd utvidelsen. For å tillate alle skript på det gjeldende nettstedet, midtklikk på ikonet. Du kan dessuten aktivere en venstreklikk-veksling for å tillate eller sperre toppnettstedet under Generelt i alternativene.
Du kan legge merke til at en melding om blokkerte skript vises på skjermen i et varsel. Dette kan være nyttig hvis du bare bruker hurtigmenyen, men hvis du bruker et ikon, fremheves det også av selve ikonet.
Jeg foretrekker å fjerne varselet da det blokkerer deler av skjermen uten å fortelle meg noe jeg ikke allerede vet.
Du kan deaktivere varselet under varslingsfanen under alternativene.
I stedet for å vise en melding, kan du også aktivere lydfeedback i stedet. Jeg anbefaler ikke at du gjør det, spesielt hvis du laster inn mange nettsteder i løpet av en surfeøkt.
Gå tilbake til nettstedlistene som NoScript viser når du venstre- eller høyreklikker på ikonet.
Menyen fremhever alle skript som nettstedet prøver å kjøre. Rotdomenet er alltid oppført nederst på listen, mens alle andre domener er oppført på toppen av det.
Tips : For å sikre nettstedets fulle funksjonalitet er det vanligvis nok til å tillate rotdomenet. Jeg vil anbefale deg å laste inn nettsteder uten hviteliste først for å se om det fungerer ut av esken eller ikke. Hvis den ikke gjør det, skyldes det sannsynligvis et skript som må lastes. Det er unntak fra regelen. Du kan oppleve at noen nettsteder bruker distribusjonsnettverk for innhold, f.eks. cdn.ghacks.net som du også trenger å tillate, og at noen nettsteder laster inn biblioteker fra tredjepartsnettsteder, for eksempel jquery.
Som jeg har nevnt i min 6 NoScript-tipsveiledning , kan du midtklikke på hvilket som helst domene her for å utføre en sikkerhetskontroll av det. Når du mellomklikker, blir du ført til en side på NoScript-nettstedet som lenker til flere populære sikkerhetstjenester for nettsteder, for eksempel Web of Trust, McAfee Site Advisor eller hpHost.
Bruk disse til å sjekke et domene som du ikke vet noe om før du tillater det. Et alternativ til det er å manuelt sjekke et domene på Virustotal .
Tips : Høyreklikk på hvilket som helst domenenavn for å kopiere det til utklippstavlen.
Graver dypere
La oss grave litt dypere inn. NoScript tilbyr mer enn bare skriptblokkering. Den kan også brukes til å håndtere innebygd innhold.
Selv om innholdet blokkeres som standard for nettsteder som ikke er hviteliste, er de ikke for nettsteder du midlertidig eller permanent har hviteliste.
Dette betyr at innhold som Java, Flash, Silverlight eller andre plugins blir lastet som standard på hviteliste sider. Hvis du ikke vil at det skal skje, må du gjøre følgende konfigurasjonsendring under NoScript Options> Embeddings.
Her er et eksempel der dette kan være nyttig. Si at du må hvitliste et nettsted for å gjøre bruk av all funksjonaliteten. Ved å gjøre det, kan du utilsiktet også la den spille av Flash-annonser, videoer eller annet innhold som krever bruk av plugins.
Selv om det kan være fornuftig å la dette innholdet spille av på nettsteder med hviteliste sider som YouTube, mens du besøker nettstedet for videoer, forbedrer det sikkerheten og personvernet hvis du også bruker disse begrensningene til hviteliste nettsteder.
Det betyr mer å klikke for å aktivere innholdet, men det er en avveining.
Hvis du aktiverer den funksjonen, vil du få en bekreftelsesmelding hver gang du klikker på blokkert innhold. Du kan deaktivere det ved å deaktivere 'Be om bekreftelse før du midlertidig opphever blokkeringen av et objekt'.
Merk : du kan konfigurere de forbudte elementene på samme side. Så det er teoretisk mulig å tillate noe av innholdet mens du ikke tillater andre. Et mulig alternativ er å tillate Flash, og å ikke tillate alt annet innhold.
Avanserte alternativer
De avanserte alternativene kan se skumle ut med det første, siden du finner mange tekniske termer som XSLT, XSS, ABE eller til og med ping, som er nevnt her.
Generelt sett er disse alternativene best mulig i fred, med mindre du trenger spesifikke funksjoner.
En funksjon som kan være av interesse her er håndtering av sikre informasjonskapsler. Du kan konfigurere NoScript til å tvinge kryptering for informasjonskapsler satt over HTTPS for utvalgte nettsteder.
Noen nettjenester angir informasjonskapsler over en sikker tilkobling, men markerer ikke disse informasjonskapslene som sikre. Resultatet er at forespørsler om den cookien fra samme domene er tillatt selv om de kommer fra sider som ikke er HTTPS.
Det kan imidlertid hende at du får problemer på noen nettsteder, slik at du kanskje ikke kan logge på disse nettstedene lenger, eller du blir logget av automatisk når du bytter side.
Du finner informasjon om disse problemene ved å åpne Firefox's Web Console ved å bruke snarveien Ctrl-Shift-i. Bruk informasjonen til å legge til unntak fra regelen.
Andre funksjoner som du kanskje vil se nærmere på, er alternativer for å forby bokmerker på ikke-betrodde nettsteder, tillate lokale lenker for pålitelige nettsteder eller å forhindre forsøk på å fikse JavaScript-koblinger.
Videre lesning
Sannsynligvis det beste stedet for tilleggsinformasjon om NoScript er FAQ som forfatteren fastholder. Flere av de teknologiske begrepene blir forklart her, og det er også et tips og triks-avsnitt som du kan finne nyttige.
Spørsmål er basert på spørsmål offisielt forum som er godt besøkt.