一般ユーザー向けの Noscript の設定方法

Noscript Security Suite (NSS) は非常に素晴らしいツールです。これは、Firefox およびさまざまな Chromium ベースのブラウザーの拡張機能として提供され、不要で騒がしい、いわゆる「現代の」インターネットを静けさのプールに変えます。これは、Web ページ上のスクリプトやその他の要素をブロックすることによって行われます。美しい、エレガント。高速で静かな体験が得られます。しつこくなく、オーバーヘッドもありません。スクリプトが必要な場合は、選択的に有効にします。うまく機能しますが、技術者の場合のみです。

残念ながら、オタクではなく一般の人々にとって、これは解決策ではありません。サイトごとのパーミッションに煩わされたり、スクリプトが実行されないときに何かが壊れているかどうかを調べたりする必要はありません。しかし、制限のないブラウジングのすべての柔軟性を持ちながら、Noscript の強力な機能を使用したい場合はどうすればよいでしょうか?まあ、私は式を持っているかもしれないと思います。私に従ってください。

それ以外を許可

通常、Noscript はデフォルトの拒否ツールです。信頼できる特定のドメインのみをホワイトリストに登録します。その場合でも、セッションごとに一時的に行うことができます。素晴らしいですが、厳密さと規律が必要です。デフォルト許可にすることも適切な解決策ではありません。なぜなら、Noscript は本当に必要ないからです。しかし、ここがこの拡張機能の優れたところです。

スクリプトのデフォルト

Noscript に関する 2 つのガイドで概説したように、アクセス許可には 3 つのレベルがあります。デフォルト、信頼済み、信頼されていないものです。最初のスクリプトはスクリプトをブロックしますが、他の Web 要素 (画像、メディアなど) を許可します。 Trusted はスクリプト作成を義務付け、(オプションで) 他のすべてを許可します。信頼できないものはすべてをブロックします。信頼できるものと信頼できないものはうまく連携します。ページで一時的にすべて (信頼) を許可しても、信頼できないドメインはブロックされたままになります。したがって、ある程度の保護と利便性が得られます。この原則を一般の人々のために微調整できます!

デフォルト ゾーンを設定して、毎日のブラウジングに必要ないくつかの一般的な要素を許可します。通常、これにはスクリプト、オブジェクト、メディア、およびフレームが含まれます。他の要素はオプションです。一言で言えば、使用法はこれに要約されます:

• WebGL - WebGL を許可したくない場合は、ブラウザでハードウェア アクセラレーションによる 2D/3D グラフィックを使用せず、ソフトウェア レンダリングのみに依存します。欠点は、バッテリ駆動のデバイスではバッテリの寿命が短くなることと、場合によってはページのレンダリングがやや遅くなることです。利点は、ハードウェア グラフィックス スタックのバグや問題にさらされないことです。ほとんどの場合、WebGL を使用しても問題ありません。
• フォント - これは話題のフォントで、これについては過去に詳しく説明しました。リモート フォントは問題を引き起こす可能性があり、ネット上のセキュリティ ドラマの大きな原因にもなります。 Web サイトは完全なソリューションである必要があり、サードパーティのソースからランダムなものを読み込むのは面倒なので、私は多くの理由でリモート フォントが好きではありません。セキュリティとプライバシーへの影響もありますが、繰り返しになりますが、Noscript は優れたソリューションを提供します。フォントをブロックすると、いわば「醜い」ページになる可能性がありますが、現代のインターネットが実際にどれほど壊れやすく、設計が悪いかがわかります。というわけで。
• Fetch - 基本的に、これはリクエストの処理に使用されます。リダイレクト、エラーなどを含め、サイトが「正しく」応答するようにするために、許可する必要があります。
• Ping - これはエンド ユーザーにとっては価値のないものであり、サーバーにとってのみ価値があります。 ping 属性は、ユーザーがハイパーリンクをたどった場合に通知される URL のリストを指定します。言い換えれば、「現代的な」言葉で言えば、これは無用で無意味な追跡のもう 1 つのベクトルになる可能性があります。したがって、有効にする必要はありません。
• Noscript - スクリプトが無効になっている場合、HTML ページ ソースの noscript 要素にラップされたコンテンツが表示されます。スクリプトを許可したいので、これはあまり重要ではありません。それでも、許可されても問題ありません。
• その他 - ページに含まれるその他すべて。なぜだめですか。わかりました。

この構成を使用すると、人々は一見中断することなく Web サイトを閲覧できます。すべてがデフォルトで機能するはずであり、重大な問題に遭遇することはありません。しかし、私たちができることはまだいくつかあります - そして Noscript が私たちのためにできることです。

XSS と信頼できないドメイン

Noscript のもう 1 つの優れた利点は、クロスサイト スクリプティング攻撃から保護できることです。これらが何であるかについての技術的な説明は少し冗長ですが、本質的には、スクリプトを許可しても (Noscript を使用する主な理由です)、他の機能の恩恵を受けることができます。

次に、特定のドメインを信頼しない場合、デフォルト ゾーンは非常にリベラルでオープンですが、迷惑なサイトを取り除くことができます。特にこれらのドメインが広告または追跡のみに使用される場合は.どのサイトでも、Noscript アイコン メニューを展開して、各ドメインに関連する権限を設定できます。カスタム オプションも使用できます。

たとえば、すべてのフォントをブロックし、特定のページ セットでのみ許可することができます。同じように、特定のドメインを削除したい場合があるため、Web アクティビティを簡単に追跡したり、複数のドメイン間で関連付けたりすることはできません。ブラウザは、強化された/厳格なブラウジング保護、サードパーティの Cookie の削減または削除などによってこの問題を解決しようとしていますが、Noscript を使用してソリューションをさらに堅牢にすることができます。この拡張機能を広告ブロックと組み合わせて使用​​することもできるため、リスト内の特定のドメインを見逃したり忘れたりした場合でも、スクリプトが読み込まれると、広告ブロック拡張機能が Web ページをサニタイズします。

効果ありますか?

はい、結構です。私はかなり長い間、Noscript と uBlock Origin を並べて使用してきました。実際、私はさまざまな順列をすべてテストしてきました.1つまたは2つ、両方を並べて、さまざまなブラウザ設定です。当然のことながら、最適な組み合わせは Noscript + UBO です。後者には、Web ページ上のあらゆる種類の迷惑な機能をブロックおよびサニタイズする機能もあります。注目すべき唯一のことは、サードパーティのフォントが読み込まれていないことです。よかった。

スクリプトを無効にすると、検索ボックスや Cookie オーバーレイは表示されませんが、ここでは表示されます。

ただし、いつでもドメインの状態を変更してページをリロードできます。また、カスタム ゾーンを構成することもできます。大多数のページのフォントを無効にしますが、信頼ゾーンに含まれていない少数の選択したドメインのフォントを許可します。このように、特定のページに 1 つの要素を許可するためだけに、他の設定や保護を妥協する必要はありません。

これを行うと、次のような他のいくつかのクールなことも発見できます:

• 「コア」コンテンツに加えて、サイトがどれだけ役に立たないものをロードするかがわかります。
• サードパーティのコンテンツ (フォントなど) の一部を無効にすると、犬の嘔吐物のように見えるサイトがいくつあるかがわかります。
• また、スクリプトを有効にしても速度が向上することに気付くでしょう。これは、多くの役に立たないものが読み込まれないためです。

広告ブロックと組み合わせることで、帯域幅を節約し、ノイズを減らし、ブラウジング パフォーマンスを向上させることができます。ウィンウィンウィン！

結論

So how do you setup Noscript for ordinary folks? Well, you create your own instance, tweak it - and then export the settings. When you help other people configure their browser, you can then import the settings. The basic idea is to allow scripts and a few other elements in the Default zone, which solves 99% of all problems with Noscript + non-techies. You can optionally make the setup even more elegant with creating your own trusted, untrusted and custom lists.

Is this foolproof?もちろん違います。 No technology is. In between the broken-and-confusing Web experience that Noscript purposefully creates as part of its cleansing mission, and veteran nerds who know exactly what they're doing, it's still possible to make this extension useful for the common users. My testing is limited, but I believe the configuration I outlined above works well, provides extra security, improves privacy, and does not break the surfing. Have a go, throw this at your unsuspecting relatives, and share your findings.これで完了です。

乾杯。