[-Fx-] NoScript 造成的安全性漏洞

作者idej (Jedi)

看板Browsers

標題[-Fx-] NoScript 造成的安全性漏洞

時間Sat May 2 14:28:46 2009

不久前 Adblock Plus 的作者在他的部落格上，寫了一篇文章: http://adblockplus.org/blog/attention-noscript-users 落落長的英文，重點摘要如下： - NoScript 很邪惡，為了賺廣告錢不擇手段稍微長一點的要點翻譯整理： - NoScript 為了賺錢，強迫大家每一次更新都會跑去看他那滿滿廣告的 changelist 網頁 - NoScript FAQ 宣稱只有「重大版本更新」的時候才會這樣，但是實際上是每次更新都會 - 通常 NoScript 擋掉網頁上的 JavaScript 的時候，就會擋掉一些廣告；但是 NoScript 的預設白名單當中包含了 NoScript 網頁的網域 - 有心人士將可以利用 NoScript 的網頁來執行 XSS - 兩週前 Adblock Plus 的 EasyList 開始會擋 NoScript 網頁上的廣告 - 為了廣告，NoScript 並且與 Adblock Plus「不相容」 - NoScript 網頁開始用各種手段來避開 EasyList，EasyList 則不斷修改；到了一週前，新版 NoScript 擴充套件加入了一些針對 Adblock Plus 的惡意程式碼，用來停用 Adblock Plus 的部份功能，結果就是，在許多網域 (尤其是 NoScript 網頁的網域，但不限於) 顯示會亂掉 - 由於有 Mozilla 的附加元件政策，因此 NoScript 的作者同意拿掉前述那個針對 Adblock Plus 所加入的惡意程式碼；但是在昨天所釋出的新版 NoScript 當中，會主動把一份「過濾條件清單」加到 Adblock Plus，其中把 NoScirpt 網站的相關網域列入白名單 - NoScript 網站上宣稱這是「因為 EasyList 意圖攻擊 (NoScript) 開發者的網站，使得許多功能爛掉，所以我們加入了這份白名單」 - 實際上 EasyList 就只是在擋廣告而已。NoScript 網頁意圖規避 EasyList 才是造成所謂「不相容」的主因 - 這份 NoScript 加入的白名單不會事先取得使用者同意，就逕行加入；而且加入後無法移除（移除的話下次開啟 Firefox 時會自己加回來），只能停用。就算反安裝 NoScript 後，那個白名單也還是在。註：現在的 NoScript 網頁上說，NoScript 1.9.2.6 會不經詢問自動移除前述的白名單.... -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.229.155.22

→ sicao:改裝YesScript? 05/02 14:33

推 knight00931:有沒有那麼黑暗... 05/02 14:38

推 Xconqueror:還好我不用這套件~~NoScript真邪惡~~ 05/02 14:48

→ idej:NoScript 原本的賣點是「預設擋全部」，YesScript 則不是啊 05/02 14:56

推 Alexboo:終於戰了早就對Noscript不爽很久了 05/02 15:52

推 ateclean:戰啦戰啦戰啦我的OP是預設JS全關的說～ 05/02 15:58

推 jtmh:標題殺人？除了「有心人士將可以利用 NoScript 的網頁來執行 05/02 16:23

→ jtmh:XSS」之外，其他講的似乎跟安全性漏洞無關？ 05/02 16:24

推 Kenqr:現在用到JS的網頁很多全擋掉並不是個好方法 05/02 17:04

→ Kenqr:所以我都是用YesScript 只擋想擋的 05/02 17:05

推 art1:幸好沒在用了XD adblock plus比Noscript重要多了 05/02 17:33

推 karst10607:很久之前用過Noscript一段時間確有同感(ADP也比較好) 05/02 17:37

→ avaug:Noscript蠻雞肋的 05/02 17:47

推 richjf:換用YesScript好了...反正要擋的也只是固定幾個. 05/02 18:11

推 richjf:有安裝過要先升1.9.2.6 再反安裝. 05/02 18:15

推 bestpika:使用者自訂的部份優先權應該最高吧? 05/02 18:44

推 tokugawa:把NoScript的網域從預設白名單中移除不就好了 05/02 20:05

推 bestpika:樓上....前面有說重開還會被自動加回去 05/02 20:29

→ bestpika:不過新版本有自動移除掉了就是 05/02 20:29

推 tokugawa:我是說NoScript自己預設的白名單，不是對adblock plus的 05/02 21:11

→ idej:這邊的問題在於，安裝/更新完之後才能把預設白名單刪除 05/02 22:48

→ idej:但是在做這件事之前，就會先連到 NoScript changelist 網頁 05/02 22:48

→ idej:這個時間點就有可能先中 XSS 了 05/02 22:48

→ idej:(當然話說回來，對NoScript網站不信任的前提下，的確是連 05/02 22:54

→ idej:NoScript擴充套件的程式碼也不能信任，而不應該安裝了...) 05/02 22:54

推 doom3:NOSCRIPT的作者很誇張喔...留這污名誰還敢用它 05/03 10:20

→ norlan17m:很多套件更新都會連到網頁吧...感覺只是兩個套件的紛爭 05/03 10:35

→ norlan17m:基本上套件大部分人不知道是否安全,乾脆都不要裝？ 05/03 10:36

→ knight00931:會每次更新都連過去的的確是有阿像flashgot 05/03 10:41

推 pttdog:內行都用 YesScript 自由自訂 NoScript規則給人訂誰相信 05/03 11:50

→ emethxyz:YS的問題就是不能預先擋住一些可疑網站 05/03 12:39

→ emethxyz:而NS因為預設全擋所以沒這問題 05/03 12:40

→ emethxyz:像是跑到不知名的地方去總不該先中毒了再把他ban掉吧 05/03 12:40

推 knight00931:推樓上，像小遊戲版那個武林大會的彈出視窗多到2~4萬 05/03 13:05

→ knight00931:個，很扯，總不能等他跑到當掉之後才想去把他加黑名單 05/03 13:05

→ knight00931:不擋又不行... 05/03 13:08

推 uoyihc:那麼究竟NS有沒有實質危險呢? 我看addons的網站NS已經被罵 05/03 13:37

→ uoyihc:翻了... 05/03 13:38

推 norlan17m:認為no應該比yes好,只相信你相信的,一堆網頁可能有問題 05/03 13:55

→ norlan17m:noscript也可以定規則，一般人還是no比較好 05/03 13:56

推 Kenqr:Firefox本來就會阻擋有害的網站了不覺得有需要擋JS 05/03 16:13

推 jtmh:如果真的有去看過 NoScript 預設白名單的，會發現 yahoo.com 05/03 16:46

→ jtmh:和 yimg.com 也在其中，試問其他有心人士真的要做 XSS 的話， 05/03 16:47

→ jtmh:是透過 yahoo 龐大的各式網頁較好下手，還是 noscript.net 呢 05/03 16:49

→ jtmh:這整件事根本是反廣告人士 (ABP) 與利用更新時賺廣告費 (NS) 05/03 16:51

→ jtmh:之戰，就我個人而言我是不反對 NoScript 更新會帶我去看廣告 05/03 16:53

→ jtmh:NoScript 唯一錯的是後來試圖去干擾 Adblock Plus, 不過既然 05/03 16:56

→ jtmh:作者已經出來道歉，也已經作出修正，就先把 NS 留校察看了 XD 05/03 16:58

→ norlan17m:白名單真的都不放心，全部砍掉不就好了？ 05/03 17:29

→ norlan17m:firefox擋的應該只是名單,有的網站被加料，不一定知道 05/03 17:34

→ timmy5519:每一秒鐘都有網站被加料 05/05 19:08