スクリプトなしを使用する必要がありますか？

最近、コンピューター上でマルウェアが発生する原因として最も可能性が高いのはWebブラウジングだと聞いています。Linuxのウイルスについて心配する必要がないとも聞いています。では、No-ScriptやNot-Scriptなどの優先ドメインでJavaScriptを選択的に有効にできるブラウザ拡張機能を使用する必要がありますか？

間違いなく！

攻撃者は悪意のあるスクリプトを使用して、XSSなどの複数の攻撃を実行できます。

クロスサイトスクリプティング（XSS）は、悪意のある攻撃者が他のユーザーが表示するWebページにクライアント側のスクリプトを挿入できるようにする、Webアプリケーションに通常見られる一種のコンピューターセキュリティの脆弱性です...

詳細については、ウィキペディアをご覧ください。

スクリプトがないため、Webページ（またはWebサイト）のすべてのスクリプトと、それが使用するプラグイン（flash、javaなど）を制御する権限がありません。信頼できるサイトをホワイトリストに追加すると、他のユーザーはスクリプトの実行を許可されません。 （一時的または永続的に）許可しない限り。

質問とその答えの上ノースクリプトのウェブサイト（よくある質問）いくつかの明確化を提供することができます。

信頼できるサイトに対してのみJavaScript、Java、Flash、プラグインの実行を許可する必要があるのはなぜですか？

JavaScript、Java、およびFlashは、まったく異なるテクノロジーですが、共通点が1つあります。それらは、リモートサイトからのコンピューターコードで実行されます。3つすべてが何らかのサンドボックスモデルを実装し、リモートコードが実行できるアクティビティを制限します。たとえば、サンドボックス化されたコードは、ローカルハードディスクを読み書きしたり、基盤となるオペレーティングシステムや外部アプリケーションと対話したりしてはなりません。サンドボックスが防弾である場合（ケースではなく、以下をお読みください）、またはオペレーティングシステムがブラウザー全体を別のサンドボックス（VistaのIE7 +またはSandboxieなど）でラップしている場合でも、ブラウザー内でサンドボックス化されたコードを実行するだけで、悪意のある目的で悪用されます。たとえば、Webに保存または入力した重要な情報（クレジットカード番号、電子メールの資格情報など）を盗んだり、「偽装」したりします。偽の金融取引では、クロスサイトスクリプティング（XSS）やCSRFなどの「クラウド」攻撃を開始します。ブラウザをエスケープしたり、通常のWebページより高い特権を取得したりする必要はありません。これだけで、信頼できるサイトでのみスクリプトを許可できます。さらに、多くのセキュリティエクスプロイトは「特権の昇格」を実現することを目的としています。つまり、サンドボックスの実装エラーを悪用して、より大きな特権を取得し、トロイの木馬、ルートキット、キーロガーのインストールなどの厄介なタスクを実行します。この種の攻撃は、JavaScript、Java、Flash、その他のプラグインをターゲットにすることもできます。これだけで、信頼できるサイトでのみスクリプトを許可できます。さらに、多くのセキュリティエクスプロイトは「特権の昇格」を実現することを目的としています。つまり、サンドボックスの実装エラーを悪用して、より大きな特権を取得し、トロイの木馬、ルートキット、キーロガーのインストールなどの厄介なタスクを実行します。この種の攻撃は、JavaScript、Java、Flash、その他のプラグインをターゲットにすることもできます。これだけで、信頼できるサイトでのみスクリプトを許可できます。さらに、多くのセキュリティエクスプロイトは「特権の昇格」を実現することを目的としています。つまり、サンドボックスの実装エラーを悪用して、より大きな特権を取得し、トロイの木馬、ルートキット、キーロガーのインストールなどの厄介なタスクを実行します。この種の攻撃は、JavaScript、Java、Flash、その他のプラグインをターゲットにすることもできます。

1. JavaScriptは悪意のある人にとって非常に貴重なツールのように見えます。JavaScriptが無効になっている場合、これまでに発見されたブラウザーの悪用可能な修正済み脆弱性のほとんどは効果がありませんでした。多分その理由は、あなたが初心者のハッカーであっても、スクリプトのテストとホールの検索が簡単であることです：みんなと彼の兄弟はJavaScriptプログラマであると信じています：P

2. Javaには、少なくとも「標準」の具体化であるSun JVMにおいてより良い歴史があります。代わりに、ByteVerifier.TrojanのようなMicrosoft JVM用に作成されたウイルスが存在します。とにかく、Javaセキュリティモデルでは、署名されたアプレット（デジタル証明書によって整合性と生成元が保証されているアプレット）を、通常のインストール済みアプリケーションと同じように、ローカル権限で実行できます。これは、「このアプレットは不正な/偽の証明書で署名されています。実行したくない！代わりに実行するのに狂っていますか？[決して！] [いいえ] [いいえ] [たぶん] "は、[はい]ボタンを検索、検索してヒットし、Firefoxにさえ悪い評判を引き起こしました（記事は非常に不完全であることに注意してください。 ）。

3. 以前は比較的安全であると考えられていましたが、その使用が広まったため、より深刻なセキュリティ欠陥がより高い割合で発見されています。Flashアプレットは、ホストされているサイトに対してXSS攻撃を仕掛けるためにも悪用されています。>

4. 他のプラグインは、ほとんどがJavaやFlashのような仮想マシンをホストしていないため、悪用するのがより困難ですが、特別に細工されたコンテンツを供給されたときに任意のコードを実行する可能性のあるバッファーオーバーランのようなホールを公開することができます。最近、これらのプラグインの脆弱性のいくつかが、Acrobat Reader、Quicktime、RealPlayer、およびその他のマルチメディアヘルパーに影響を与えることがわかりました。

上記のテクノロジーは通常（95％の確率で）既知のパッチ未適用の悪用可能な問題の影響を受けないことに注意してください。ただし、NoScriptの目的はこれだけです。未知のセキュリティホールの悪用を防止します。遅すぎるかもしれません;）最も効果的な方法は、信頼できないサイトの潜在的な脅威を無効にすることです。

理論的には、LinuxとMac OSでウイルスに感染する可能性があります。ほとんどの人がそうしない理由は、LinuxとMac OSが大きなターゲットではないためです。マルウェアの作成者は、最小限の労力で幅広いネットをキャストしたいと考えています。第二に、Linux / Unixは、セキュリティの点でより多くの情報を提供し、情報に詳しいユーザー（一般）を提供します。そうは言っても、私は常にWindows、Mac OS X、UbuntuでFlashblockとNo Scriptを使用しています。ページの読み込みが速くなり、フラッシュCookieやその他のあらゆる問題を防ぐことで、オンラインの匿名性を高めます。プラットフォームに関係なく、それらを強くお勧めします。少なくともそれらはあなたがページが何をしようとしているのかあなたにもっと気づかせます。

私はFirefoxでNoScriptを定期的に使用しており、日常的な使用をお勧めします。

広告はブロックされないため、管理者のサイト費用は引き続きサポートされます。

ただし、Flash広告はブロックされ、閲覧時のCPU負荷が大幅に軽減されます（Flashプラグインがインストールされている場合）。

コンテンツの実行を個別に許可できるため、ビデオの再生に関連するスクリプトを許可した後、ほとんどのビデオ共有サイトが機能し始めます（ページに複数のスクリプトがある場合、これは少し推測される場合があります）。付与する権限は、セッション中の一時的なものでも、永続的なものでもよいため、再度ブロックすることを決定しない限り、サイトは機能します。

サイト登録などのフォームに入力するときは、フォームに入力する前にスクリプトを許可して、作業を繰り返す必要がないようにすることをお勧めします。ページでスクリプトを許可すると、ページが強制的に再読み込みされます。

NoScriptが許可する最も重要な保護は、ウィンドウサイズを変更したり、コンテンツをソーシャルサイトに投稿したり、その他の望ましくないことを行ったりする悪意のあるサイトからのものです。NoScriptはデフォルトのアクションを拒否に変更します。スクリプトが信頼できると判断した場合は、サイトごとに選択できます。

Firefoxのインストールリンクは次のとおりです。https： //addons.mozilla.org/en-US/firefox/addon/noscript/