2018年3月10日 星期六

用 noscript 阻斷不明程式、 保護瀏覽器的安全與隱私

NoScript 操作介面 瀏覽器是你的電腦與外面廣大網際網路的最直接接觸面。 即使是你從來沒聽過、 不小心第一次造訪的網站, 它的 javascript 程式碼也都會進入你的瀏覽器執行。 這也是病毒、勒贖軟體、挖礦軟體最常走的入侵管道。 所以保護瀏覽器安全的最基本方式, 就是只允許部分 javascript 執行。 Adblock Plus 適用於多種瀏覽器, 它比較寬鬆: 「原則上放行; 只阻擋黑名單」; 而這篇要介紹、 最近 UI 大改版的 NoScript 僅適用於 firefox, 它比較嚴格: 「原則上阻擋; 只放行白名單」。

安裝了 NoScript 之後, 很多網站可能就不能用了。 這時可以點 firefox 右上角的 noscript 的 icon, 會顯示 noscript 操作介面, 包含目前頁面的 javascript 放行/禁止狀況。 你可以逐一決定看要 (直到關閉 firefox 為止) 暫時放行 (temp. TRUSTED) 哪些 js、 又要永久放行 (TRUSTED) 哪些 js。

或是比較偷懶 (也意謂著棄守部分防護) 的話, 可以按右上角的 「暫時信任本頁全部」。 然後點選左上角綠色的「套用」 (或是滑鼠點頁面其他地方) 操作介面自動關閉, 並且會套用新的設定重新載入頁面。

另一個偷懶(也是棄守更多防護)的方法是: 進入 noscript 操作介面左上角的 「更多選項(全域)」, 勾選 「Temporarily set top-level sites to TRUSTED」, 表示以後不論造訪任何網站, 都自動暫時信任來自該網站的所有 js。 在這個頁面還可以設定全域的白名單放行網站。

2015 年時, 資安專家發現 NoScript 的預設白名單有漏洞; 現在的版本應該沒有這個問題了。 從左上角第三個按鈕的全域設定 (options) 可以看見目前的信任/阻擋清單。 這篇 2017 年 11 月的文章 有更詳盡的新版介面介紹。 How to use NoScript efficiently 是概念性/原則性的文章, 適用於任何版本, 很值得一讀。 作者建議: 比較好的做法, 是一開始花一些時間找出常用的重要網站, 把這些網站加入永久信任的名單, 以後需要逐一放行的頻率就會越來越低了。

1 則留言: