dimanche 12 septembre 2010

NoScript nous protège, alors utilisons le!

Comme vous le savez déjà, de nombreuses attaques sont basées sur l'exécution de scripts dans votre browser (voir à ce sujet l’article Cross Site Request Forgery par l'image!).
NoScript est une extension de Firefox qui permet de désactiver par défaut l'exécution de scripts dans le browser et de n'autoriser que les scripts nécessaires.
Notons, que NoScript ne date pas d’hier, il existe depuis 2006, et qu’il reste une des meilleures parades à l’exécution de scripts non autorisés dans notre browser. Inconvénient: l’utilisation de NoScript peut s’avérer contraignante pour une utilisation quotidienne. La sécurité aurait-elle un prix?

ScreenShot028

Lorsque l'on accède à un page web e.g. http://www.google.fr/, NoScript présente plusieurs options:

1) Autoriser google.fr temporairement. Cette option est la plus sûre.
2) Autoriser cette page temporairement. Cette option est un peu moins sûre.
3) Autoriser toute la page (cette option est pratique pour éviter d'autoriser la page de votre site préféré à chaque lancement de votre browser). Cette option est cependant encore moins sûre que la précédente.
4) Autoriser "google.fr". Cette option signifie que l'on a une confiance absolue dans le site visité et que l'on pense qu'il ne sera jamais infecté. Hum...!.
Une autre approche consiste à configurer ce site via Options / List blanche

ScreenShot029

5) Autoriser Javascript globalement. Cette option revient à ne pas installer NoScript. A éviter absolument!

A vos browsers!

Aucun commentaire:

Enregistrer un commentaire

Partager avec...