Giorgio Maone is een naam die de meeste internetgebruikers niets zegt, toch is hij de populairste plugin-ontwikkelaar ter wereld en Security.nl interviewde hem. Zijn creatie Firefox NoScript is één van de meest gedownloade plugins op het web en wordt aangeraden door de National Security Agency (NSA), het Amerikaanse Computer Emergency Response Team en gesponsord door de Nederlandse NLnet Stichting. Naast NoScript, dat allerlei scripts op websites blokkeert en daardoor als een belangrijke security en privacy-aanvulling wordt gezien, ontwikkelde Maone ook FlashGot.
Bij elkaar hebben de plugins meer dan 4,4 miljoen gebruikers. De downloadstatistieken van NoScript en FlashGot zijn niet meer openbaar, maar eind vorig jaar zat NoScript op 76 miljoen downloads en FlashGot op 92 miljoen. Bij elkaar opgeteld had Maone daarmee meer downloads dan de populairste Firefox uitbreiding AdBlock Plus, dat toen de honderd miljoenste download vierde.
Hoe voelt het om een plugin te maken die miljoenen mensen gebruiken?
Maone: Het is een grote verantwoordelijkheid, omdat deze gebruikers er voor hun veiligheid op vertrouwen. Het is ook erg stressvol, omdat ik graag up-to-date blijf met alle webgebaseerde dreigingen, en omdat veel mensen (zowel goed als kwaad) manieren zoeken om NoScript's bescherming te omzeilen. Maar het is vanzelfsprekend ook een fantastisch gevoel, dat je weet dat al je werk nuttig voor zoveel mensen is. Ik ben echt heel blij met mijn werk en ik weet dat ik hier ook erg veel geluk mee heb.
Hoe kwam je op het idee om NoScript te ontwikkelen?
Maone: In 2005 werd er een zeer ernstig beveiligingslek in Firefox 1.0.3 onthuld, waardoor aanvallers willekeurige code konden uitvoeren op de systemen van gebruikers als die een kwaadaardige website bezochten en JavaScript hadden ingeschakeld. Het was de eerste echte Firefox 'zero-day' en ik maakte me zorgen over mijn eigen veiligheid.
Ik begon browserlekken te onderzoeken en ontdekte dat ze bijna altijd door JavaScript-bugs worden veroorzaakt, of JavaScript vereisen om misbruik mogelijk te maken. De vaak voorgestelde oplossing bij browser-gerelateerde security advisories, namelijk het uitschakelen van JavaScript was toen, en is nog steeds, geldig.
Ik vroeg me vervolgens af of het overal uitschakelen van JavaScript op het internet wel haalbaar was. Zou het niet beter zijn om de scripts uit te schakelen zoals werd voorgesteld, maar ze wel in te schakelen op de sites die ik vertrouwde en waar ik ze ook nodig had, zoals webmail en mijn bank? Drie dagen later publiceerde ik NoScript 1.0 op de Mozilla add-ons website.
Denk je dat NoScript voor de 'doorsnee consument' geschikt is? Zelfs technische mensen klagen soms dat het niet echt gebruiksvriendelijk is.
Maone: Hoewel NoScript met name door beveiligingsexperts wordt gewaardeerd, die niet de doorsnee consument zijn, kan iedereen het met minimale moeite gebruiken. Het toestaan van scripts op een website die je vertrouwt is een kwestie van één of twee muisklikken, en daarna wordt je keuze onthouden. Na een tijdje past NoScript in je surfgedrag en zal het bijna verdwijnen. Als je denkt dat zelfs dit teveel werk is, kun je "Allow scripts globally" instellen, waarbij NoScript in een 'blacklist mode' werkt.
Gebruikers kiezen dan websites waar ze geen scripts willen draaien. Dit is minder veilig dan de klassieke NoScript 'default deny policy', maar je bent nog altijd veiliger dan met een normale browser door de beveiligingsmaatregelen die NoScript naast het blokkeren van scripts biedt, zoals de "ClearClick" clickjacking bescherming, het anti-XSS filter, de Application Boundaries Enforcer (ABE) module en noem maar op.
Veel van de features die NoScript al lange tijd heeft, worden nu door andere browserleveranciers geïmplementeerd. Wat vind je hiervan?
Maone: Ik ben er trots op, maar aan de andere kan is het ook grappig. Toen ik als eerste een client-side anti-XSS filter introduceerde deden de meeste mensen (browserleveranciers en zelfs beveiligingsexperts) het idee af als onmogelijk of onpraktisch. Toen toonde ik dat het echt gedaan kon worden. Nu heeft bijna elke moderne browser zoiets als dit, ook al is de implementatie nog niet zo effectief als die van NoScript.
Denk je dat NoScript een standaard plugin van Firefox zou moeten zijn?
Maone: Absoluut niet. NoScript is een laboratorium, waar de bescherming tegen nieuwe dreigingen continu wordt ontwikkeld, geïmplementeerd en getest, met release cycli van zeven a tien dagen. Geen enkele mainstream browser (zelfs geen mainstream softwareproduct), kan dit 'neutrino-snelle' ontwikkelingsproces bijbenen. Als Firefox een ingebouwd onderdeel zou zijn, zou het kristalliseren en de 'pionierende kracht' verliezen.
Heeft een browserleverancier ooit geprobeerd NoScript te kopen, of is het niet te koop?
Maone: Browserleveranciers niet, hoewel ik nauw samenwerk met Mozilla (ik ben een lid van de Mozilla Security Group) en nu werk met Google om een officiële Chrome poort mogelijk te maken. Ik heb aanbiedingen van grote beveiligingsbedrijven gehad, maar NoScript is niet te koop.
Kun je leven van de donaties die je ontvangt, miljoenen mensen gebruiken het tenslotte?
Maone: Ja, ik kan prima van de donaties leven. Aan de andere kant zou NoScript niet kunnen bestaan zonder de genereuze contributies van zoveel mensen en organisaties, aangezien het nu een fulltime baan is, die soms meer dan twintig uur per dag in beslag neemt.
Wat kunnen we van de mobiele versie van NoScript verwachten?
Maone: Een eenvoudigere user-interface, met een configuratie wizard en grote, grote knoppen en onder water alle NoScript paardenkracht, kijk ook eens op deze pagina.
De Nederlandse NLnet Stichting heeft een deel van de ontwikkeling van de mobiele versie gesponsord, wat vind je hiervan?
Maone: NLnet is super in het vinden van projecten die een positieve impact op het leven van gebruikers en het opensource ecosysteem hebben. De hulp die ze bieden gaat veel verder dan financiële ondersteuning, het is ook inspiratie en begeleiding. Ik ben de gehele NLNet crew dankbaar. Zonder hun visie had NoScript nooit zo'n krachtige en flexibele tool kunnen worden.
Standaard blokkeert NoScript geen iframes, terwijl die voor veel drive-by downloads worden gebruikt. Waarom worden die niet geblokkeerd?
Maone: Ze worden standaard niet geblokkeerd, omdat het blokkeren van scripts en actieve content binnen iframes, wat NoScript standaard doet, meer dan genoeg is om drive-by downloads te blokkeren. Bijvoorbeeld de recente aanval op MySQL.com, waarbij de kwaadaardige lading van een andere host afkwam, wordt door NoScript geblokkeerd omdat de code binnen dat frame standaard word geblokkeerd.
Welke NoScript instellingen gebruik jezelf?
Maone: Ik gebruik de standaard instellingen, plus de "Apply these restrictions to whitelisted sites" optie in het "Embedding" paneel. Dat voorkomt dat content van elke willekeurige plugin, Flash of Java, wordt uitgevoerd, tenzij je op de placeholder klikt. Het lijkt op de FlashBlock extensie, maar dan op een veel betrouwbare "security grade" manier.
Welke features wil je nog in de toekomst toevoegen die nu ontbreken?
Maone: Een feature die ik al aan de mobiele versie heb toegevoegd zal binnenkort ook op de desktopversie verschijnen, alsmede het remote synchroniseren, om je NoScript configuratie en instellingen over meerdere apparaten te delen. Verder blijf ik doen wat ik tot nu toe heb gedaan, nieuwe features toe blijven voegen om NoScript-gebruikers tegen de nieuwste en gevaarlijkste web-dreigingen te beschermen en altijd een stap voor te blijven.
Deze posting is gelocked. Reageren is niet meer mogelijk.