노 스크립트를 사용해야합니까?

요즘 컴퓨터에서 웹 브라우징이 악성 코드의 가장 큰 원인이라고 들었습니다. 또한 Linux의 바이러스에 대해 걱정할 필요가 없다고 들었습니다. 따라서 No-Script 또는 Not-Script와 같이 선호하는 도메인에 대해 자바 스크립트를 선택적으로 활성화 할 수있는 브라우저 확장을 사용해야합니까?

명확히!

공격자는 악성 스크립트를 사용하여 XSS와 같은 여러 공격을 수행 할 수 있습니다.

XSS (Cross-Site Scripting)는 악의적 인 공격자가 클라이언트 쪽 스크립트를 다른 사용자가 보는 웹 페이지에 삽입 할 수있게하는 웹 응용 프로그램에서 일반적으로 발견되는 일종의 컴퓨터 보안 취약점입니다.

Wikipedia 에서 자세히 읽어보십시오 .

어떤 스크립트도 웹 페이지 (또는 웹 사이트)의 모든 스크립트와 플래시, 자바 등과 같은 플러그인을 제어 할 수있는 권한을 제공하지 않습니다. 신뢰할 수있는 사이트를 화이트리스트에 추가하고 다른 사이트는 스크립트를 실행할 수 없습니다. (임시 또는 영구적으로) 허용하지 않는 한.

질문 그것의 대답 에 노 스크립트 웹 사이트 ( 자주 묻는 질문 ) 어떤 해명을 제공 할 수 있습니다 :

신뢰할 수있는 사이트에 대해서만 JavaScript, Java, Flash 및 플러그인 실행을 허용해야하는 이유는 무엇입니까?

JavaScript, Java 및 Flash는 매우 다른 기술 임에도 공통점이 있습니다. 원격 사이트에서 온 컴퓨터 코드에서 실행됩니다. 세 가지 모두 샌드 박스 모델을 구현하여 원격 코드가 수행 할 수있는 활동을 제한합니다. 예를 들어 샌드 박스 코드는 로컬 하드 디스크를 읽거나 쓰거나 기본 운영 체제 또는 외부 응용 프로그램과 상호 작용해서는 안됩니다. 샌드 박스가 방탄 (아래의 경우가 아님)이고 사용자 또는 운영 체제가 다른 샌드 박스 (예 : Vista 또는 Sandboxie의 IE7 +)로 전체 브라우저를 래핑하더라도 브라우저 내부에서 샌드 박스 코드를 실행하는 기능은 예를 들어 웹에 저장하거나 입력하는 중요한 정보 (신용 카드 번호, 이메일 자격 증명 등)를 훔치거나 사용자를 "도용"하는 등 악의적 인 목적으로 악용 될 수 있습니다. 가짜 금융 거래에서 브라우저를 이탈하거나 일반 웹 페이지보다 높은 권한을 얻을 필요없이 XSS (Cross Site Scripting) 또는 CSRF와 같은 "클라우드"공격을 시작합니다. 이것만으로도 신뢰할 수있는 사이트에서만 스크립팅을 허용 할 수 있습니다. 또한 많은 보안 악용은 "권한 에스컬레이션", 즉 샌드 박스의 구현 오류를 악용하여 더 큰 권한을 획득하고 트로이 목마, 루트킷 및 키로거 설치와 같은 불쾌한 작업을 수행하는 것을 목표로합니다. 이러한 종류의 공격은 JavaScript, Java, Flash 및 기타 플러그인을 대상으로 할 수 있습니다. 이것만으로도 신뢰할 수있는 사이트에서만 스크립팅을 허용 할 수 있습니다. 또한 많은 보안 악용은 "권한 에스컬레이션", 즉 샌드 박스의 구현 오류를 악용하여 더 큰 권한을 획득하고 트로이 목마, 루트킷 및 키로거 설치와 같은 불쾌한 작업을 수행하는 것을 목표로합니다. 이러한 종류의 공격은 JavaScript, Java, Flash 및 기타 플러그인을 대상으로 할 수 있습니다. 이것만으로도 신뢰할 수있는 사이트에서만 스크립팅을 허용 할 수 있습니다. 또한 많은 보안 악용은 "권한 에스컬레이션", 즉 샌드 박스의 구현 오류를 악용하여 더 큰 권한을 획득하고 트로이 목마, 루트킷 및 키로거 설치와 같은 불쾌한 작업을 수행하는 것을 목표로합니다. 이러한 종류의 공격은 JavaScript, Java, Flash 및 기타 플러그인을 대상으로 할 수 있습니다.

1. JavaScript는 나쁜 사람에게는 매우 귀중한 도구로 보입니다. 현재까지 발견 된 대부분의 고정 브라우저 취약성 취약점은 JavaScript가 비활성화 된 경우 효과적이지 않습니다. 어쩌면 그 이유는 초보자 해커라도 스크립트를 테스트하고 구멍을 찾기가 더 쉽기 때문일 것입니다. 모든 사람과 그의 형제는 JavaScript 프로그래머라고 생각합니다. : P

2. Java는 최소한 "표준"화신 인 Sun JVM에서 더 나은 기록을 가지고 있습니다. 대신 ByteVerifier.Trojan과 같이 Microsoft JVM 용으로 작성된 바이러스가 있습니다. 어쨌든 Java 보안 모델을 사용하면 서명 된 애플릿 (디지털 인증서로 무결성과 출처를 보장하는 애플릿)을 로컬 권한으로 실행할 수 있습니다 (예 : 일반 설치된 응용 프로그램과 동일). "이 애플릿은 잘못된 / 가짜 인증서로 서명되었습니다. 실행하기를 원하지 않습니다! 대신 실행하기에 너무 화가 났습니까? [ 절대로!] [Nope] [No] [Maybe] ", 검색,"예 "버튼을 찾아서 누르십시오. Firefox에서도 평판이 나빠졌습니다 (기사가 상당히 절름발이입니다. ).

3. 플래시는 비교적 안전한 것으로 여겨졌지만 사용이 널리 퍼지면서 심각한 보안 결함이 더 높은 속도로 발견되었습니다. 플래시 애플릿은 또한 호스팅 된 사이트에 대한 XSS 공격을 시작하기 위해 악용되었습니다.>

4. 다른 플러그인은 Java 및 Flash와 같은 가상 머신을 호스팅하지 않기 때문에 악용하기가 어렵지만 특수하게 조작 된 컨텐츠를 제공 할 때 임의 코드를 실행할 수있는 버퍼 오버런과 같은 허점을 여전히 노출 할 수 있습니다. 최근에 이러한 플러그인 취약점 중 일부가 Acrobat Reader, Quicktime, RealPlayer 및 기타 멀티미디어 도우미에 영향을 미쳤습니다.

위에서 언급 한 기술 중 어느 것도 공개적으로 알려지고 아직 패치되지 않은 악용 가능한 문제의 영향을받지는 않지만 (95 %), NoScript의 요점은 이것입니다. 너무 늦을 수도 있습니다;) 가장 효과적인 방법은 신뢰할 수없는 사이트에 대한 잠재적 위협을 비활성화하는 것입니다.

이론적 으로는 Linux 및 Mac OS에서 바이러스에 감염 될 수 있습니다 . 대부분의 사람들이하지 않는 이유는 Linux와 Mac OS가 큰 목표가 아니기 때문입니다. 맬웨어 작성자는 최소한의 노력으로 넓은 그물을 던지기를 원합니다. 두 번째로 Linux / Unix는 보안 및 정보에 대한 정보가 많은 사용자에게 더 많은 정보를 제공합니다 (일반). 나는 Windows, Mac OS X 및 Ubuntu에서 항상 Flashblock 및 No Script를 사용한다고합니다. 페이지가 더 빨리로드되며 플래시 쿠키 및 기타 모든 유형의 문제를 방지하여 온라인 익명성에 도움이됩니다. 플랫폼에 관계없이 권장합니다. 최소한 그들은 당신이 무엇을하려고하는지 더 잘 알 수 있습니다.

Firefox에서 정기적으로 NoScript를 사용하고 매일 사용하는 것이 좋습니다.

광고를 차단하지 않으므로 관리자의 사이트 비용을 계속 지원합니다.

그러나 플래시 광고를 차단하여 탐색 할 때 CPU 부하를 크게 줄입니다 (플래시 플러그인이 설치되어있는 경우)

콘텐츠를 개별적으로 실행할 수 있으므로 비디오 재생과 관련된 스크립트를 허용 한 후 대부분의 비디오 공유 사이트가 작동하기 시작합니다 (페이지에 여러 스크립트가있는 경우 약간의 추측이 필요할 수 있음). 부여한 권한은 세션에 대해 일시적이거나 영구적 일 수 있으므로 다시 차단하지 않으면 사이트가 작동합니다.

사이트 등록과 같은 양식을 작성할 때 양식을 작성하기 전에 스크립트를 허용하여 작업을 반복 할 필요가 없도록하는 것이 좋습니다. 페이지에서 스크립트를 허용하면 페이지를 강제로 다시로드합니다.

NoScript가 제공하는 가장 중요한 보호 기능은 창 크기를 변경하거나 컨텐츠를 소셜 사이트에 게시하거나 원치 않는 다른 작업을 시도하는 악의적 인 사이트로부터 보호됩니다. NoScript는 기본 작업을 거부로 변경하며 스크립트를 신뢰할 수 있다고 판단되면 사이트별로 선택할 수 있습니다.

Firefox 설치 링크는 다음과 같습니다. https://addons.mozilla.org/en-US/firefox/addon/noscript/