Легендарное расширение для обеспечения безопасности браузера NoScript, долгое время доступное только пользователям Firefox, наконец-то можно установить в Хроме и Хромиумах. Проверено в Vivaldi — работает.

Расширение даёт возможность управлять списками сайтов, с которых разрешена либо запрещена загрузка содержимого. Также оно защищает от XSS атак и других уязвимостей.

Пользователей в настоящее время — около 54,5 тыс. Сравните с 1,5 млн. в Огнелисе.

Расширению NoScript потребовалось около 14 лет на прохождение проверок Гугла.
Статья автора NoScript Джорджио Маоне (Giorgio Maone) о пробном размещении: здесь.

Похоже, «Injection Checker» от NoScript не будет работать в Хроме (и Хромиумах), а будет использоваться встроенный в браузер «XSS Auditor». Это произошло из-за т.ч. Mozilla целенаправленно увеличила возможности Firefox в области реализации WebExtensions API, работая совместно с автором NoScript для воплощения как можно большего объёма функционала этого расширения (нужна асинхронная обработка веб-запросов = «asynchronous processing of web requests»).

После установки стоит просмотреть белый список расширения и поправить его по своему вкусу.

Сколько оно будет жить — неизвестно (это дополнение может сильно сократить доходы рекламщиков). Компания Google собиралась вносить изменения в браузер — см. эту статью.

Статьи по теме: раз, два.

Вопрос к сообществу:

  1. Нужно ли использовать Ghostery при имеющихся NoScript + uBlock Origin + Decentraleyes?
  2. Какие способы защиты кроме NoScript посоветуете?

Комментарии (12)


  1. IgorPie
    02.09.2019 17:04
    +1

    Во вступление еще бы абзац, что это за расширение такое, чтобы не гуглить.


    1. alexxxst
      02.09.2019 17:14
      +4

      Дожили… если на хабре про ТАКОЕ расширение нужно вступление...)


      1. fouriki
        02.09.2019 18:42
        +1

        Не все юзают фф) а если на хроме его нет, то откуда про него узнать?)


        1. dragoangel
          03.09.2019 10:53
          -3

          Если вам лень сделать поисковой запрос и перейти на офф сайт и почитать faq, то может не стоит и тратить время на строение такого рода комментов?


      1. MatiasGray
        03.09.2019 11:25
        +2

        Не элитизируйте. Хабр уже сто лет как популярный ру-ресурс, и его читает большое количество людей целенаправленно, не говоря уж о тех, которые просто перешли по ссылке на эту статью из интереса.
        Плюс, дать пару слов о предмете статьи это хороший приём оформления материала и элемент хорошего тона.


  1. Beholder
    02.09.2019 17:43
    +2

    Да и без него жили, потому что есть, например, uMatrix, который умеет гораздо больше.


  1. TwistedFrog
    02.09.2019 18:30

    Под Хром вроде ScriptSafe и ScriptBlock под это дело прежде использовались,
    хотя про NoScript — приятная новость.

    Заинтересовался упомянутым Decentraleyes — не пойму, если защищает от трэкинга путём централизованной доставки контента — разве это не есть тоже трэкинг в чистом виде? :)


    1. qw1
      03.09.2019 13:57

      Decentraleyes
      Здесь точка централизации — расширение в браузере, считается, что оно доверенное, никому не передаёт данные.

      Основная проблема приватности с CDN — это referrer и заголовки кеширования (ETag, If-Modified-Since). Decentraleyes загружает контент с CDN один раз, и после этого всем страницам предоставляет сохранённую копию. Поэтому CDN не может посчитать, сколько раз и на каких страницах использовался контент. Кроме того, происходит защита от подмены. Если клиент запрашивает jQuery 1.3, Decentraleyes отдаст проверенную известную версию, а CDN в принципе мог бы отдать модифицированную для данного юзера/ip-адреса, если предположить, что имеет место таргетированная атака.


      1. TwistedFrog
        05.09.2019 11:10

        Интересно. А Вы лично верите, что приложение с всего 70 тыс. закачек в Chrome само не может пасть жертвой «таргетированной атаки», попутно перезаражав своих пользователей?


        1. qw1
          05.09.2019 15:33

          С такими страхами можно и блокировщик рекламы не ставить, он более вкусная цель для атаки. Я всё же думаю, что плюсы конкретно от Decentraleyes перевешивают риски.

          Но, в принципе, приватностью лучше управлять разумным поведением и понимаем, как что работает, а не обвесившись расширениями. Например, физически разделив браузеры. Например, IE для сессий, где вводится твоё ФИО (банк, гос. услуги), Firefox для рабочих моментов (справочники, статьи), Chrome — для развлекательных сайтов. С удалением куков при закрытии браузера, и переводом кешей в RAM. Пусть трекают в пределах одного сеанса — не жалко, при закрытии браузера, на следующий день — я везде новая личность.


          1. TwistedFrog
            05.09.2019 19:25

            Да, к тому же для Decentraleyes настройки HTTPS Everywhere сбрасываются на дефолтные при каждом закрытии браузера, надоест переставлять по инструкции…


  1. Rober
    02.09.2019 22:37

    Это новость или простая констатация факта с целью пропиарить Vivaldi? Ибо расширение не сегодня и не неделю назад вышло, а гораздо раньше. В отзывах на странице расширения нашлась запись от 12 апреля 2019 года.

    Скриншот