NoScript для Firefox - настройка
Однією з основних причин, по якій я використовую на своєму комп'ютері браузер Firefox, а не який-небудь інший, є розширення NoScript, яке доступне тільки для цього браузера.
NoScript, як випливає з його назви, блокує скрипти і не дає їм запуститися автоматично на більшості сайтів. Це значно підвищує безпеку, так як більшість атак вироблених з сайтів для досягнення результату використовують саме скрипти. Також розширення покращує час завантаження сторінки, адже коли NoScript включений, потрібно завантажувати набагато менше контенту.
Недоліком є те, що функціонал деяких сайтів може перестати працювати. Так як скрипти блокуються за умовчанням, сайт може взагалі перестати працювати, або працювати частково з встановленим NoScript.
Розширення пропонує додаткові настройки для вирішення цих питань. Ви можете дозволити запускати скрипти тимчасово або постійно на певних сайтах.
Іншою проблемою є те, що скрипти блокуються на рівні домену. Більшість веб-сайтів завантажує скрипти з різних джерел. Першими йдуть скрипти власного домену, а потім скрипти імпортуються зі сторонніх серверів, наприклад, для відображення реклами, для збору інформації, і навіть для використання розміщеної на сервері версії jquery.
Дуже часто важко визначити, які саме скрипти необхідні для базової функціональності сайту, а які - ні. Особливо важко доведеться користувачам Інтернету, у яких мало досвіду в доменах, веб-сайт технологіях і скриптах.
Налаштування NoScript
NoScript поставляється в досить вдалої конфігурації. Ви можете використовувати його без змін, але якщо ви хочете отримати максимальну віддачу від цього аддона, то вам коштувати пройтися з налагодження, хоча б один раз, щоб переконатися, що все налаштовано саме так, як вам потрібно.
Як я згадував уже раніше, NoScript блокує виконання скриптів на більшості сайтів за замовчуванням. Розширення поставляється з білим списком доменів, це означає, що сайти, які розміщені в цьому списку, можуть без перешкод завантажувати скрипти, які розміщені на їх власному домені.
Підказка: NoScript розрізняє кореневі домени і піддомени. Такі домени, як addons.mozilla.org і mozilla.org обробляються розширенням, як різні.
Серед білого списку доменів можна знайти: addons.mozilla.org, google.com, googleapis.com, live.com, hotmail.com, outlook.com і paypal.com.
Ви можете вилучити будь-який домен з білого списку в налаштуваннях NoScript.
Я рекомендую видалити домени, які ви не хочете бачити в білому списку. Також я рекомендую залишити внутрішні сторінки Firefox в списку, в іншому випадку ви ризикуєте зіткнутися з проблемами.
Ви також можете імпортувати або експортувати вибрані домени. Це буває корисним, якщо ви використовуєте Firefox на кількох пристроях і хочете мати однаковий білий список.
Друга зміна в конфігурації, яке ви можете зробити, стосується іконки NoScript. Ви можете помістити її в таке місце, до якого у вас буде легкий доступ.
Я помістив свою іконку на панель аддонів, але після того як панель видалили з Firefox Australis (version 29), ви можете помістити іконку на головній панелі інструментів браузера.
Інший варіант, який у вас є, це використовувати контекстне меню. NoScript додає пункт в контекстне меню Firefox, що з'являється при натисканні правої кнопки миші, який можна використовувати для заборони і дозволу сайтів, а також для відкриття додаткових можливостей розширення.
Якщо ви використовуєте іконку, ви також можете використовувати кілька корисних функцій, вбудованих розробником в розширення. Щоб вирішити всі скрипти на цьому сайті, натисніть середню кнопку миші по іконці. Крім того ви можете налаштувати ліву кнопку миші для блокування або дозволу сайту верхнього рівня відповідно до настройками в «General».
Ви можете помітити, що повідомлення про заблоковані скриптах відображається на екрані в повідомленнях. Це може бути корисно, особливо якщо ви використовуєте виключно контекстне меню, але якщо ви використовуєте іконку, вона сама дасть вам знати про всіх подіях, що відбуваються.
Я вважаю за краще видаляти повідомлення, так як вони блокують частину екрану, при цьому, не кажучи мені нічого, чого я ще не знаю.
Ви можете відключити повідомлення в опціях розширення.
Замість відображення повідомлення, ви можете активувати аудіо-сигнал. Я не рекомендую вам цього робити, особливо якщо ви завантажуєте безліч сайтів під час роботи.
Давайте повернемося до списку NoScript, який відображається при натисканні на ліву чи праву кнопку миші на іконці.
В меню відображені всі скрипти, які намагається завантажити сайт. Кореневої домен завжди знаходиться на початку списку, в той час як інші домени винесені в його кінець.
Порада: Для забезпечення повної функціональності сайту, як правило, досить дозволити кореневої домен. Я рекомендую вам, для початку, завантажувати сайти без використання білого списку, щоб побачити чи працює сайт при настройках за умовчанням чи ні. Якщо немає, то, швидше за все, для нормального функціонування сайту потрібно завантажити скрипт. Існують винятки з цього правила. Ви можете помітити, що деякі сайти використовують мережі доставки контенту, які вам необхідно схвалити, а також деякі сайти можуть завантажувати бібліотеки зі сторонніх сайтів, на кшталт jquery.
Ви можете натиснути середню кнопку миші на будь-якому домені для запуску перевірки безпеки. Коли ви натиснете на середню кнопку, ви потрапите на сторінку сайту NoScript, яка пов'язана з декількома популярними сервісами забезпечення безпеки, такими як Web of Trust, McAfee Site Advisor і hpHost.
Використовуйте ці сервіси, щоб перевірити домен, перш ніж дозволити завантаження скриптів. В якості альтернативи ви можете використовувати ручну перевірку на сервісі Virustotal.
Порада: клацніть правою кнопкою миші на будь-яке доменне ім'я, щоб скопіювати його в буфер обміну.
Копаємо глибше
Давайте крапни трохи глибше. NoScript пропонує користувачам більше ніж просто блокування скриптів. Він може бути використаний для обробки впровадженого контенту.
Подібного роду контент блокований за замовчуванням для сайтів які не перебувають в білому списку, але не блокований для сайтів тимчасово або постійно перебувають у ньому.
Це означає, що вміст на зразок Java, Flash, Silverlight та інших плагінів буде завантажуватися на сайтах з білого списку за замовчуванням. Якщо ви не хочете щоб це сталося, ви повинні зробити наступне зміна конфігурації NoScript у вкладці Налаштування> Вбудовані об'єкти.
Ось приклад, де це може бути корисно. Припустимо, що вам необхідно помістити сайт в білий список, щоб мати доступ до всієї його функціональності. Помістивши його в білий список, ви можете ненавмисно також дозволити програвати Flash-рекламу, відео та інший контент, який вимагає використання плагінів.
Звичайно, має сенс так вчинити з дозволом контенту для сайтів з білого списку, таких як YouTube, адже ви відвідуєте його саме через відео. Однак якщо ви застосуєте обмеження для сайтів з білого списку, це поліпшить безпеку і конфіденційність вашого комп'ютера.
Це означає більшу кількість клацань миші для дозволу контенту, але це чесна обмін на безпеку.
Якщо ви активуєте цю функцію, кожен раз при натисканні на заблоковане вміст ви будете отримувати повідомлення з підтвердженням. Ви можете відключити його, відключивши опцію «Ask for confirmation before temporarily unblocking an object».
Примітка: ви можете налаштувати заборонені предмети на тій же сторінці. Теоретично можливо зробити так, щоб в один і той же час частина контенту була доступна, а частина заблокована. Одним з можливих варіантів є дозвіл Flash і заборона всього іншого.
Додаткові опції
З першого погляду, розширені опції можуть виглядати лякаюче, так як ви зустрінете безліч технічних термінів, таких як XSLT, XSS, ABE. Тут навіть згадується пінг!
По правді кажучи, всі ці опції краще залишити в спокої, звичайно якщо тільки вам не потрібні специфічні особливості.
Тут є одна особливість, яка може представляти інтерес - це захист cookies. Ви можете налаштувати NoScript так, щоб він надавав шифрування для cookies встановлене через HTTPS для певних сайтів.
Деякі веб-сервіси налаштовують cookies через захищене з'єднання, але не маркують ці cookies як захищені. В результаті, запит на ці cookies з того ж домена виявиться успішним навіть якщо він прийшов з не HTTPS сторінки.
Однак ви можете зіткнутися з проблемами на деяких сайтах і не зможете більше залогінитися на цих сайтах або будете автоматично разлогініваться при перемиканні сторінок.
Ви знайдете інформацію про ці проблеми в веб-консолі Firefox, яка з'являється після натискання Ctrl-Shift-i. Використовуйте отриману інформацію для додавання винятків в правило.
Є й інші функції, на які варто звернути увагу. Це заборона Букмарклет на ненадійних сайтах, дозвіл локальних посилань для довірених сайтів, а також заборона спроб виправлення JavaScript посилань.
Оцініть статтю
Олександр Ануфрієв, журналіст, у вільний час любить працювати з комп'ютерами, приділяючи особливу увагу браузерам.
Сторінка автора - ВКонтакте