image

NoScript-beveiliging mogelijk standaard in Firefox

donderdag 7 augustus 2008, 09:59 door Redactie, 16 reacties

De Mozilla Stichting gaat iets doen wat naar eigen zeggen nog niemand in de beveiligingsindustrie doet, namelijk het bekendmaken van aanvalsvectoren in de browser. De code van de open source browser is nu al openbaar, dat geldt in de toekomst ook voor al het beveiligingsonderzoek dat Mozilla laat uitvoeren. Regelmatig laat het de browser auditen. De details van die rapporten zullen straks voor het publiek en andere vendors inzichtelijk worden. De enige voorwaarde is wel dat een gevonden probleem ook daadwerkelijk verholpen is. Ook zal Mozilla uitleggen hoe ze de problemen heeft opgelost.

"We willen dat de mensen in de industrie weten aan welke potentiële kwetsbaarheden we gedacht hebben en dat we alles eraan hebben gedaan om de risico's te beperken. We willen hiermee de discussie met de gemeenschap aangaan en feedback krijgen. We willen alles wat we leren delen," aldus beveiligingschef Window Snyder. Volgens Snyder is het zinnig voor beveiligingsonderzoekers om te zien welke dreigingen Mozilla tolereert en hoe een complex product zoals Firefox eruit ziet.

Om de beveiliging verder aan te scherpen gaan alle Firefox programmeurs op cursus om veilig te leren programmeren. De informatie is zeer handig voor ondernemingen die niet het geld voor een vast security team hebben. Daarom zal Mozilla al het lesmateriaal beschikbaar stellen.

Zegt Mozilla ja tegen NoScript?

Verder liet Snyder tijdens de Blackhat Conferentie in Las Vegas weten dat de zeer populaire en handige Firefox uitbreiding NoScript mogelijk aan de browser zal worden toegevoegd. Binnen het ontwikkelteam wordt hier heftig over gediscussieerd. "Het is een discussie die we hebben. Het zou fantastisch zijn om het in Firefox te zien," gaat Snyder verder. In het verleden kreeg Mozilla nog kritiek omdat het plugins zoals Adblock Plus niet standaard aan de browser toevoegde, dit vanwege de inbreng van Google.

Wat in ieder geval niet snel in Firefox zal verschijnen is Protected Mode. Deze optie is wel ingeschakeld voor Internet Explorer 7 en zorgt ervoor dat de browser geen systeeminstellingen kan wijzigen of bestanden op ongeautoriseerde locaties kan bewaren. "Het zal verschijnen in een toekomstige versie maar niet in 'do-releases'."

Reacties (16)
07-08-2008, 11:10 door Anoniem
Ik vind Noscript geweldig , zou er geen problemen mee hebben
als hij standaard aan de browser worden toegevoegd.
07-08-2008, 12:44 door Anoniem
Ik denk dat NoScript in de praktijk al bijna standaard is.
Dus het zou weer een stapje schelen. Het zou mooi zijn als
je ook Java via dezelfde interface zou kunnen toestaan.
... Protected Mode. Deze optie is wel ingeschakeld voor
Internet Explorer 7 en zorgt ervoor dat de browser geen
systeeminstellingen kan wijzigen of bestanden op
ongeautoriseerde locaties kan bewaren.

Waarom zou een browser dat kunnen?
07-08-2008, 13:42 door wimbo
Door Anoniem
[...]
... Protected Mode. Deze optie is wel ingeschakeld voor
Internet Explorer 7 en zorgt ervoor dat de browser geen
systeeminstellingen kan wijzigen of bestanden op
ongeautoriseerde locaties kan bewaren.

Waarom zou een browser dat kunnen?
Dat vraag ik me ook af.
Downloads gaan in 1 folder (of een folder die door de
gebruiker te kiezen is -> Save as...), je hebt je cookies,
browser cache en extensions.
Waarom moet een browser ergens anders nog dingen kunnen doen?

Oh wacht... die 'veilige' ActiveX meuk bedoelen ze wellicht
bij IE7.
07-08-2008, 15:08 door spatieman
no script rules
na het installen van firefox bij anderen is dit het eerste
wat ik erop zet.
wat ze ermee doen, is niet mijn keuze
07-08-2008, 15:18 door Anoniem
NoScript is zeer makkelijk en ik gebruik het al erg lang.
Denk alleen niet dat het een goed plan is voor de minder
intensieve gebruikers. Tenzij er iets aan de interface wordt
gedaan. NoScript blijft voor een minder intensieve gebruiker
toch lastig om te leren begrijpen.
07-08-2008, 16:11 door Anoniem
Op een linux machine is het draaien zonder noscript geen
probeem. Het is daar wat overbodig en hinderlijk om elke
keer weer de boel te authoriseren. Dit is niet een melding
om de OS war weer te starten maar er zijn mensen die denken
dat het ook met linux moet...het kan..............
07-08-2008, 17:41 door wizzkizz
Door Anoniem
Op een linux machine is het draaien zonder noscript geen
probeem. Het is daar wat overbodig en hinderlijk om elke
keer weer de boel te authoriseren. Dit is niet een melding
om de OS war weer te starten maar er zijn mensen die denken
dat het ook met linux moet...het kan..............
Ik gebruik het ook gewoon onder linux. Geen enkel product is
100% veilig en zo ook linux niet. Better safe than sorry.
Bovendien kun je zo ook gemakkelijk webstattrackers en
aanverwante ongewenste zaken blokkeren, alleen maar beter dus.


Door Anoniem
Ik denk dat NoScript in de praktijk al bijna standaard is.
Dus het zou weer een stapje schelen. Het zou mooi zijn als
je ook Java via dezelfde interface zou kunnen toestaan.
... Protected Mode. Deze optie is wel ingeschakeld voor
Internet Explorer 7 en zorgt ervoor dat de browser geen
systeeminstellingen kan wijzigen of bestanden op
ongeautoriseerde locaties kan bewaren.

Waarom zou een browser dat kunnen?
De browser kan dat als de gebruiker die het programma
uitvoert het kan. Aangezien onder Windows vaak als admin
gedraaid wordt, kan de browser daar dus ook bij vitale
systeembestanden. Wordt er als beperkte gebruiker gewerkt,
kan de browser er zelfs met de beste wil van de wereld niet
bij.
07-08-2008, 20:15 door Anoniem
Kan iemand mij dat nou eens haarfijn uitleggen wat het nut
is van no-script? Je moet als ik het goed begrepen heb
iedere keer no-script toestemming geven anders kan je een
site niet of maar gedeeltelijk zien. Bijvoorbeeld
security.nl. Anders kan je niet stemmen op een poll. Je
geeft no-script toestemming en je kan wel stemmen, maar dan
is toch de beveiliging die no-script biedt weg? Dat is toch
hartstikke omslachtig? Iedere keer toestemming geven? En hoe
weet je of security.nl wel veilig is?
Bedankt vast.
08-08-2008, 00:11 door eLMo
"Het zal verschijnen in een toekomstige versie maar niet in 'do-
releases'."
En daarom gebruiken we het dus niet. Firefox is geen haar beter dan IE.

Alternatieven genoeg.
08-08-2008, 08:57 door Anoniem
Door eLMo
"Het zal verschijnen in een toekomstige versie maar niet in 'do-
releases'."
En daarom gebruiken we het dus niet. Firefox is geen haar beter dan IE.

Alternatieven genoeg.
zoals? alle browsers hebben wel eens problemen.
08-08-2008, 17:05 door eLMo
ik gebruik bijvoorbeeld Maxthon.

Maxthon is een shell die gebruikt maakt van de IE core (engine). Maar je kunt
veel meer instellen, bijvoorbeeld standaard activex uitschakelen, selectief
filteren en black/whitelists gebruiken. Indien goed geconfigureerd is dit zeer
veilig. Ik durf gerust elke (besmette) pagina te openen. (en ook de
ingebouwde ad-blocker maakt het surfen zeer aangenaam ;-))

Ik gebruik de classic versie (1.6.3), niet de nieuwe.
08-08-2008, 18:35 door Anoniem
Kan iemand mij dat nou eens haarfijn uitleggen wat
het nut
is van no-script? Je moet als ik het goed begrepen heb
iedere keer no-script toestemming geven anders kan je een
site niet of maar gedeeltelijk zien.
Het is minder moeilijk dan je misschien denkt. Het nut is
vergelijkbaar met het nut van een firewall. Een firewall
staat een heleboel handige verbindingen niet toe. De
verbindingen die je vertrouwt moet je expliciet opgeven. Zo
werkt NoScript, maar dan als blokkering voor Javascript.
08-08-2008, 23:41 door Nomen Nescio
Door eLMo
"Het zal verschijnen in een toekomstige versie maar niet in 'do-
releases'."
En daarom gebruiken we het dus niet. Firefox is geen haar beter dan IE.

Alternatieven genoeg.
Zoals Safari? Ja ik vraag maar hoor.
08-08-2008, 23:42 door Nomen Nescio
Door eLMo
ik gebruik bijvoorbeeld Maxthon.

Maxthon is een shell die gebruikt maakt van de IE core (engine). Maar je kunt
veel meer instellen, bijvoorbeeld standaard activex uitschakelen, selectief
filteren en black/whitelists gebruiken. Indien goed geconfigureerd is dit zeer
veilig. Ik durf gerust elke (besmette) pagina te openen. (en ook de
ingebouwde ad-blocker maakt het surfen zeer aangenaam ;-))

Ik gebruik de classic versie (1.6.3), niet de nieuwe.
Standaard ActiveX uitschakelen kun je ook in IE hoor. Al heel lang,
09-08-2008, 02:46 door eLMo
Klopt helemaal Nomen, maar toch werkt IE net ietsje anders. Maar anders
probeer je het toch gewoon zelf? ;-)
11-09-2008, 16:31 door Zipper306
Als Firefox Noscript standaard gaat invoeren, dan gaat de FireFox browser gelijk af via de zijdeur.

NoScript geef alleen maar een schijnveiligheid gevoel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.