L'article intitulé "iPhone, IE, Firefox, Safari get stomped at hacker contest" at The Register website discute du fait que Firefox peut être exploité.
Je me demande si NoScript protège contre le type d'exploitation dont il est question, ou si le navigateur peut être exploité même si l'extension est chargée.
Des avis ? Il pourrait s'agir d'un wiki communautaire étant donné qu'il ne s'agit pas d'un simple problème ou d'une solution.
Le site ne donne pas de détails sur les exploits utilisés, et il est donc impossible de dire s'ils auraient été contrecarrés par NoScript.
NoScript bloque l'exécution de tous les scripts JavaScript et des scripts tiers (comme flash/sliverlight), ce qui ne vous laisse pratiquement que le HTML de base. Bien qu'il soit certainement possible qu'un bogue de rendu dans un navigateur puisse exposer une vulnérabilité dans du HTML pur, c'est beaucoup moins probable car aucun code n'est spécifiquement exécuté de la même manière qu'avec un moteur JavaScript. La surface attaquable est considérablement réduite, de sorte que la probabilité de trouver une attaque réussie est plus faible.
L'autre aspect à prendre en compte est que l'attaque pourrait viser NoScript lui-même. Il est tout à fait possible que NoScript présente des bogues permettant l'exécution de code à distance.
Enfin, vous devez tenir compte des actions des utilisateurs. Avec quelle rigueur les utilisateurs vérifient-ils qu'un site est digne de confiance avant de l'inscrire sur la liste blanche ? Effectuez-vous un examen approfondi du code d'un site et de tous ses scripts avant de l'inscrire sur la liste blanche, ou vous contentez-vous d'autoriser le site lorsque vous voyez "Ce site requiert du javascript". Je pense qu'il n'est pas difficile d'amener la plupart des utilisateurs à mettre leur site sur liste blanche, car dès qu'ils le font, ils s'exposent à nouveau à un grand nombre de ces attaques.
J'ai jeté un coup d'œil rapide à Avis de sécurité pour Firefox 3.6 . Bien que j'aie pu en oublier certains, 6 des 13 avis figurant sur cette page pourraient être évités en désactivant JavaScript. En outre, l'un des avis restants dépend de polices téléchargeables, que NoScript bloque également par défaut (il s'agit de l'option "Forbid @font-face" dans sa boîte de dialogue de configuration).
Les autres fois où je me suis penché sur la question, la proportion était à peu près la même : environ 50 % des vulnérabilités de Firefox dépendaient de JavaScript.
La désactivation de JavaScript peut également rendre l'exploitation des autres vulnérabilités plus difficile, puisque l'attaquant doit créer une attaque qui ne nécessite pas JavaScript. Il est également très probable que l'attaquant ne se soucie pas de JavaScript et l'utilise même s'il n'en a pas besoin ; après tout, les personnes qui utilisent NoScript ont tendance à être soucieuses de la sécurité et à mettre à jour leur navigateur dès qu'une faille de sécurité est annoncée.
Enfin, avec NoScript, vous pouvez autoriser JavaScript sur un site web tout en désactivant les scripts des autres domaines inclus dans ce site. Cela inclut les serveurs publicitaires tiers, le code de suivi tiers et l'exploitation du JavaScript dans une iframe cachée au bas de la page qui provient d'un autre domaine (ce dernier point est une chose courante pour les sites compromis).
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
