NLNet financiert nieuwe beveiligingsopties browserplug-in NoScript
Stichting NLnet heeft twee nieuwe beveiligingsopties in de populaire browserplug-in NoScript gefinancierd die onder andere routers van gebruikers moeten beschermen en fijnmazige scriptopties mogelijk maken. NoScript is een extensie die allerlei scripts op websites blokkeert, waarmee het fungeert als advertentie- en trackerblocker, en gebruikers tegen allerlei soorten aanvallen beschermt.
Aan NoScript versie 11.3 zijn dankzij financiering van stichting NLnet twee nieuwe features toegevoegd. Het gaat om "Contextual Policies" en "LAN Protection". Met Contextual Policies kunnen gebruikers bijvoorbeeld scripts van twitter.com nu per website instellen. Zo is het mogelijk om op example.tld de scripts van Twitter toe te staan, maar die op andere websites te blokkeren.
LAN Protection maakt het mogelijk om requests vanaf het internet naar het lokale netwerk te blokkeren of toe te staan. Cross-site request forgery (CSRF)-aanvallen maken hier bijvoorbeeld misbruik van. Zo is het mogelijk voor een aanvaller om handelingen vanuit de browser van de gebruiker uit te voeren, zoals het benaderen van apparaten die niet direct voor het internet toegankelijk zijn.
In het verleden zijn CSRF-aanvallen onder andere gebruikt voor het compromitteren van routers. Met de LAN Protection worden dergelijke aanvallen gestopt. Gebruikers kunnen requests vanaf het web echter in uitzonderingsgevallen nu eenvoudig toestaan.
Beide beveiligingsopties konden dankzij stichting NLnet worden ontwikkeld. NLnet ondersteunt mensen en organisaties die aan een open informatiesamenleving bijdragen. NoScript voor Google Chrome telt meer dan 100.000 gebruikers. De Firefox-versie heeft zo'n 370.000 gebruikers.
Wat weerhoud je ervan dat te doen?
Wat weerhoud je ervan dat te doen?
Zo te zien worden er mogelijkheden aan NoScript toegevoegd die de verschillen met Ublock Origin kleiner maken. Een belangrijke consequentie daarvan is dat als het ooit misgaat met Ublock Origin, omdat de maker helemaal op de commerciële toer gaat bijvoorbeeld, of dat 'ie onder een bus komt, je aan NoScript nu een beter alternatief hebt om op terug te vallen dan voor deze verbeteringen werden toegevoegd. Of je dat ooit nodig gaat hebben valt niet te voorspellen, maar in het algemeen kan je stellen dat in een wereld met terugvalmogelijkheden dingen beter gaan dan in een wereld zonder terugvalmogelijkheden. En dus is het prima dat er geld in NoScript wordt gestoken, ook als je (net als ik trouwens) Ublock Origin gebruikt.
UBlock en NoScript hebben verschillende doelen.
UBlock is primair een adblocker en NoScript is primair een scriptblocker.
Beide kunnen getweakt worden om zowel als adblocker en scriptblocker te fungeren.
Zelf gebruik ik als domain blocker een PiHole, zo is dit in 1 keer voor alle apparaten in het LAN geregeld. Als scriptblocker gebruik ik, je raad het al, NoScript.
En als je dat afzet tegen de aantallen gebruikers van Chrome en Firefox, dan zegt dat iets over hoe de gemiddelde gebruiker van Chrome over zijn of haar privacy denkt. Of, hoe die er niet over denkt. Of, hoe computervaardig ze zijn (dus: wel willen maar niet weten hoe, en er ook weinig of geen moeite in steken want zo moeilijk is het ook weer niet).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
