NoScript-beveiliging mogelijk standaard in Firefox
De Mozilla Stichting gaat iets doen wat naar eigen zeggen nog niemand in de beveiligingsindustrie doet, namelijk het bekendmaken van aanvalsvectoren in de browser. De code van de open source browser is nu al openbaar, dat geldt in de toekomst ook voor al het beveiligingsonderzoek dat Mozilla laat uitvoeren. Regelmatig laat het de browser auditen. De details van die rapporten zullen straks voor het publiek en andere vendors inzichtelijk worden. De enige voorwaarde is wel dat een gevonden probleem ook daadwerkelijk verholpen is. Ook zal Mozilla uitleggen hoe ze de problemen heeft opgelost.
"We willen dat de mensen in de industrie weten aan welke potentiële kwetsbaarheden we gedacht hebben en dat we alles eraan hebben gedaan om de risico's te beperken. We willen hiermee de discussie met de gemeenschap aangaan en feedback krijgen. We willen alles wat we leren delen," aldus beveiligingschef Window Snyder. Volgens Snyder is het zinnig voor beveiligingsonderzoekers om te zien welke dreigingen Mozilla tolereert en hoe een complex product zoals Firefox eruit ziet.
Om de beveiliging verder aan te scherpen gaan alle Firefox programmeurs op cursus om veilig te leren programmeren. De informatie is zeer handig voor ondernemingen die niet het geld voor een vast security team hebben. Daarom zal Mozilla al het lesmateriaal beschikbaar stellen.
Zegt Mozilla ja tegen NoScript?
Verder liet Snyder tijdens de Blackhat Conferentie in Las Vegas weten dat de zeer populaire en handige Firefox uitbreiding NoScript mogelijk aan de browser zal worden toegevoegd. Binnen het ontwikkelteam wordt hier heftig over gediscussieerd. "Het is een discussie die we hebben. Het zou fantastisch zijn om het in Firefox te zien," gaat Snyder verder. In het verleden kreeg Mozilla nog kritiek omdat het plugins zoals Adblock Plus niet standaard aan de browser toevoegde, dit vanwege de inbreng van Google.
Wat in ieder geval niet snel in Firefox zal verschijnen is Protected Mode. Deze optie is wel ingeschakeld voor Internet Explorer 7 en zorgt ervoor dat de browser geen systeeminstellingen kan wijzigen of bestanden op ongeautoriseerde locaties kan bewaren. "Het zal verschijnen in een toekomstige versie maar niet in 'do-releases'."
als hij standaard aan de browser worden toegevoegd.
Dus het zou weer een stapje schelen. Het zou mooi zijn als
je ook Java via dezelfde interface zou kunnen toestaan.
... Protected Mode. Deze optie is wel ingeschakeld voor
Internet Explorer 7 en zorgt ervoor dat de browser geen
systeeminstellingen kan wijzigen of bestanden op
ongeautoriseerde locaties kan bewaren.
Waarom zou een browser dat kunnen?
[...]
... Protected Mode. Deze optie is wel ingeschakeld voor
Internet Explorer 7 en zorgt ervoor dat de browser geen
systeeminstellingen kan wijzigen of bestanden op
ongeautoriseerde locaties kan bewaren.
Waarom zou een browser dat kunnen?
Downloads gaan in 1 folder (of een folder die door de
gebruiker te kiezen is -> Save as...), je hebt je cookies,
browser cache en extensions.
Waarom moet een browser ergens anders nog dingen kunnen doen?
Oh wacht... die 'veilige' ActiveX meuk bedoelen ze wellicht
bij IE7.
na het installen van firefox bij anderen is dit het eerste
wat ik erop zet.
wat ze ermee doen, is niet mijn keuze
Denk alleen niet dat het een goed plan is voor de minder
intensieve gebruikers. Tenzij er iets aan de interface wordt
gedaan. NoScript blijft voor een minder intensieve gebruiker
toch lastig om te leren begrijpen.
probeem. Het is daar wat overbodig en hinderlijk om elke
keer weer de boel te authoriseren. Dit is niet een melding
om de OS war weer te starten maar er zijn mensen die denken
dat het ook met linux moet...het kan..............
Op een linux machine is het draaien zonder noscript geen
probeem. Het is daar wat overbodig en hinderlijk om elke
keer weer de boel te authoriseren. Dit is niet een melding
om de OS war weer te starten maar er zijn mensen die denken
dat het ook met linux moet...het kan..............
100% veilig en zo ook linux niet. Better safe than sorry.
Bovendien kun je zo ook gemakkelijk webstattrackers en
aanverwante ongewenste zaken blokkeren, alleen maar beter dus.
Ik denk dat NoScript in de praktijk al bijna standaard is.
Dus het zou weer een stapje schelen. Het zou mooi zijn als
je ook Java via dezelfde interface zou kunnen toestaan.
... Protected Mode. Deze optie is wel ingeschakeld voor
Internet Explorer 7 en zorgt ervoor dat de browser geen
systeeminstellingen kan wijzigen of bestanden op
ongeautoriseerde locaties kan bewaren.
Waarom zou een browser dat kunnen?
uitvoert het kan. Aangezien onder Windows vaak als admin
gedraaid wordt, kan de browser daar dus ook bij vitale
systeembestanden. Wordt er als beperkte gebruiker gewerkt,
kan de browser er zelfs met de beste wil van de wereld niet
bij.
is van no-script? Je moet als ik het goed begrepen heb
iedere keer no-script toestemming geven anders kan je een
site niet of maar gedeeltelijk zien. Bijvoorbeeld
security.nl. Anders kan je niet stemmen op een poll. Je
geeft no-script toestemming en je kan wel stemmen, maar dan
is toch de beveiliging die no-script biedt weg? Dat is toch
hartstikke omslachtig? Iedere keer toestemming geven? En hoe
weet je of security.nl wel veilig is?
Bedankt vast.
releases'."
Alternatieven genoeg.
releases'."
Alternatieven genoeg.
Maxthon is een shell die gebruikt maakt van de IE core (engine). Maar je kunt
veel meer instellen, bijvoorbeeld standaard activex uitschakelen, selectief
filteren en black/whitelists gebruiken. Indien goed geconfigureerd is dit zeer
veilig. Ik durf gerust elke (besmette) pagina te openen. (en ook de
ingebouwde ad-blocker maakt het surfen zeer aangenaam ;-))
Ik gebruik de classic versie (1.6.3), niet de nieuwe.
het nut
is van no-script? Je moet als ik het goed begrepen heb
iedere keer no-script toestemming geven anders kan je een
site niet of maar gedeeltelijk zien.
vergelijkbaar met het nut van een firewall. Een firewall
staat een heleboel handige verbindingen niet toe. De
verbindingen die je vertrouwt moet je expliciet opgeven. Zo
werkt NoScript, maar dan als blokkering voor Javascript.
releases'."
Alternatieven genoeg.
ik gebruik bijvoorbeeld Maxthon.
Maxthon is een shell die gebruikt maakt van de IE core (engine). Maar je kunt
veel meer instellen, bijvoorbeeld standaard activex uitschakelen, selectief
filteren en black/whitelists gebruiken. Indien goed geconfigureerd is dit zeer
veilig. Ik durf gerust elke (besmette) pagina te openen. (en ook de
ingebouwde ad-blocker maakt het surfen zeer aangenaam ;-))
Ik gebruik de classic versie (1.6.3), niet de nieuwe.
probeer je het toch gewoon zelf? ;-)
NoScript geef alleen maar een schijnveiligheid gevoel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
