インターネット
 Computer >> コンピューター >  >> ネットワーキング >> インターネット

フォントの脆弱性を修正する Noscript

この 1 か月間で、デスクトップからモバイルに至るまで、さまざまなオペレーティング システムでのフォント解析の脆弱性によるリモート実行エクスプロイトに関するセキュリティ速報を 12 件ほど読みました。これらすべてのケースで、問題については詳細に言及されていましたが、ベンダーの更新以外の可能な解決策についてはほとんど言及されていませんでした。

フォントに役立つツールがあるため、これはかなり興味深いものです。これは Noscript と呼ばれ、Firefox や最近では Chrome で利用できる最高のブラウザ拡張機能であり、Web ページでのフォントの読み込みを制御できます。フォントに関する頭痛の種を節約できる、または少なくとも大幅に最小限に抑えることができる、シンプルでエレガントなツールです。しかし、それはそれに値するスポットライトを獲得していますか?もちろんそうではありません。ドラマや恐怖の方がはるかに興味深いのです。何が得られるか見てみましょう。

フォントの脆弱性を修正する Noscript

60 秒のスクリプト

過去に Dedoimedo をよく読んでいるなら、私が Noscript を愛し、使用していることをご存知でしょう。私にとってはなくてはならないブラウザ拡張機能です。スクリプト (ほとんど) を無効にすると、ブラウジングがはるかに楽しくなります。より速く、よりきれいに。セキュリティ要素は二次的なものですが、それでも存在します。 Noscript で閲覧すると、純粋な情報 (テキストと画像) のみが読み込まれます。スクリプトを必要とするものは何でも、nyet.よかった。

これにより、現代のインターネット体験 (ひどいところではあります) が、健全で静かなものに変わります。 Javascript を必要とする何かを行う必要がある場合は、特定のドメインのアクセス許可を一時的に切り替えて、必要なことを行ってから、静かで健全なブラウジングに戻ることができます。

また、TRUSTED リストと UNTRUSTED リストを永続的に構成することもできます。これは、スクリプトやその他のオブジェクトが既定で有効になっているサイトと、一時的にすべてを許可しても有効になっていないサイトです。シンプルで実用的。確かに、それは面倒かもしれませんし、これを適切に使用できるのはオタクだけですが、セキュリティに関するこの話はすべてオタクの話です。

現在、スクリプトは Noscript の機能の 1 つの側面にすぎません。このアドオンは、オブジェクト、メディア ファイル、フレーム、WebGL、フォントなど、他の Web ページ要素をブロック/許可することもできます!フォントを忘れないようにしましょう。リモート フォントがある場合は、それらをブロックできます。デフォルトでは、Noscript はページ上のスクリプト、フォント、WebGL、および Web ping 要素をブロックします。信頼済みサイトの場合、すべてが許可されます。信頼できない場合、すべてがブロックされます。

フォントの脆弱性を修正する Noscript

フォントの脆弱性を修正する Noscript

ノスクリプトとフォント

ここで、フォントをブロックしたり、このサイトやあのサイトのスクリプト許可を絶えず調整したりして、Web エクスペリエンスを低下させたくない場合は、次のようにできます。

  • DEFAULT ゾーンのスクリプトを有効にする
  • DEFAULT および TRUSTED ゾーンのフォントをブロックする

以上です。日常のインターネット接続は以前と同じように動作します。サイトは (ほぼ完全に) 読み込まれ、すべてのスクリプト、コメントなどがあり、処理されない唯一のものはリモート フォントです。したがって、問題がある場合は、問題はありません。実際、これをデフォルト設定にしない理由はありません。特に、スクリプトに煩わされたくない場合はなおさらです。

フォントの脆弱性を修正する Noscript

さて、これはあなたのフォントエクスペリエンスを壊します.ファンシーなリモート フォントを使用するサイトはレンダリングされないため、別のフォントが表示される場合があります (ローカルで利用可能な代替フォントに関係なく)。または、さまざまなサイトの構成が非常に悪く、CSS でフォ​​ールバック フォント オプションが指定されていない場合は、空の醜い四角形が表示されます。これは素晴らしい!

もちろん、人々は自動的にこの現象を悪い、悪い、いたずらなフォントと同一視するでしょう。しかし、すべてのリモート フォントが悪いと思います。それは不要です。ばかげた流行以外に、誰もが自分のページでリモート フォントを使用する理由はありません。暗いテーマのように、ファッショナブルだからですか?派手なフォントが必要な場合は、購入してサーバーに配置し、視聴者に提供してください。そうですよね、お金がかかりますよね!しかし、Arial や Sans-serif はレトロすぎます。ケウルが足りない。

ご参考までに、Web フォントのブロックは新しいものではありません。 Noscript は少なくとも 2010 年からこの問題に対処してきましたが、それでも、リモート フォントの問題と FreeType の脆弱性があちこちで発生していました。焦点がわずかにずれていることを除けば、実際には何も変わっていません。以上です。

さらに、不適切または安全でないと思われるさまざまなサイトを永久にブロックすることもできます。そのため、さまざまなドメインですべてを許可しても、信頼できないサイトは引き続きブロックされたままになるため、誤って穴を開けてしまう心配はありません。過失またはマウスの怠惰なクリックによる設定。

関連のないおまけ:Windows 10 &Exploit Protection

Windows の人々に特有のものであり、Noscript ではありませんが、この点の価値を磨くのに良い時期だと思います。誰もが Windows について悲観的な説を唱えていることに私はとても腹を立てていますが、彼らは Windows オペレーティング システムで利用可能な最高のセキュリティ メカニズム、つまり伝説的な EMET ツールボックスに基づいたエレガントでかなり透過的な Exploit Protection フレームワークについても言及していません。無駄にセキュリティを追い求めるのではなく、問題を芽のうちに摘み取ることができます。

1 つは、オペレーティング システムで信頼されていないフォントをグローバルに無効にすることです。これが多すぎると思われる場合は、エクスプロイト保護機能を使用してアプリケーションごとにポリシーを調整できます。繰り返しますが、非常に簡単です。しかし、おそらく大ヒット作レベルのサスペンスがないため、これは十分に注目されるものではありません.

フォントの脆弱性を修正する Noscript

フォントの脆弱性を修正する Noscript

詩的正義:Firefox

最近、より一般的になっているように見えることの 1 つは、明らかに Chrome のゼロデイ バグです。さて、これ自体は特別なことでも新しいことでもありません。多くのプログラムにこれらがあり、今後何年にもわたって使用される予定です。それらが来て、次にベンダーがパッチを当てます。それがネット上にある場合、何かがうまくいかない可能性があります。人生の簡単な事実

興味深いのは、Chrome スラッシュ Chromium のユビキタス性です。これは、特にモバイルで支配的なブラウザーになっているためです。今日の若者は、この斬新でユニークな作品を目にするかもしれませんが、2005 年から 2010 年にかけて Internet Explorer が最も人気があり、最もターゲットを絞ったブラウザーであったときの喜びとドラマの繰り返しにすぎません。

それから、エレクトロンをしゃがんでいる隠れたドラゴンもいます。今日の多くのアプリケーションはまさにそのようなものです。内部で Chromium エンジンを搭載した、カスタム UI を備えたカプセル化されたブラウザです。これにより、シンプルでエレガントなデザインが実現します。しかし、これは、Chromium に脆弱性がある場合、純粋なブラウジングとは必ずしも関係のない他のアプリにもそのような脆弱性が存在する可能性が高いことを意味します。そのようなバグが発生した場合、それらはあなたに影響を与えますか?どのように?いつ?ブラウザに似ていないインターフェイスでブラウザに似たエクスプロイトを引き起こす可能性のあるものを突き止めることができますか?ヒント:これは、たとえば CVE-2018-1000136 の脆弱性など、以前にも発生しています。

Firefox は以前ほど魅力的でもなく人気もありませんが、独自のレンダリング エンジンを使用し、市場規模が小さいという事実により、pwnage ゲームの最初の選択肢になる可能性は低くなります。 15年前にさかのぼります。ロルザ。

結論

最近のセキュリティ情報は、主に Windows 以外のオペレーティング システム、特にモバイルに関するものでした。 Exploit Protection は除外されますが、Firefox と Chrome はほとんどのオペレーティング システムで広く利用可能であり、Noscript 拡張機能を使用してセキュリティと使いやすさのスタンスを強化できます。スマートフォンのアドブロッカーがでたらめ効果を 99% 減らし、バッテリー寿命を改善するのと同じように、Noscript はノイズをさらに最小限に抑え、セキュリティを向上させるのに役立ちます.

ここでフォントのセキュリティ面に焦点が当てられていることは承知していますが、それだけではありません。いいえ。これらのフォントの脆弱性は、BAD USAGE モデルの自然な拡張です。何にでもバグや問題が発生する可能性があります。フォントは特別でもユニークでもありません。本当の問題は、人々がフォントを間違った方法で使用していることです。見掛け倒しの CSS と怠惰な Web デザインを除けば、クレイモアを子供に与えるようなものです。リモート フォントは、さびた古い車のキラキラしたリムです。

リモートのサードパーティ製のものの読み込みは、増大する問題です。コードのスニペットをやみくもに再利用するサイトがますます増えており、すべてが「曇った」ものになっています。ローカルとリモートの資産の間のあいまいさ、クラウド ストレージとネットワークの使用、およびインターネット エクスペリエンスを複雑にするその他すべての要素があります。本質的には、そうです、多少のスピードと洗練はそこかしこで得られますが、最終的には、健全なコーディング プラクティスや途中でのセキュリティなど、他のすべてを失うことになります。繰り返しになりますが、Web は 2014 年頃に消滅し、この最新の化身は Idiocracy 2.0 に過ぎません。

とにかく、1日で十分な怒鳴り声。 Noscript を使用して、インターネットをばかげないようにします。セキュリティの問題ではありません。それは単なる追加ボーナスです。それはデタラメをブロックすることであり、ブロックするデタラメが多ければ多いほど、Web デザイナーが自分のやり方を再考しなければならない可能性が高くなります。リモート フォントは、現代のインターネットが抱える多くの問題の 1 つにすぎず、協力する理由はありません。途中で、デバイスを hax0ring するリスクを減らすこともできます。これで完了です。

乾杯。


  1. 一般ユーザー向けの Noscript の設定方法

    Noscript Security Suite (NSS) は非常に素晴らしいツールです。これは、Firefox およびさまざまな Chromium ベースのブラウザーの拡張機能として提供され、不要で騒がしい、いわゆる「現代の」インターネットを静けさのプールに変えます。これは、Web ページ上のスクリプトやその他の要素をブロックすることによって行われます。美しい、エレガント。高速で静かな体験が得られます。しつこくなく、オーバーヘッドもありません。スクリプトが必要な場合は、選択的に有効にします。うまく機能しますが、技術者の場合のみです。 残念ながら、オタクではなく一般の人々にとって、これは解決

  2. Chrome &Noscript - ついに登場

    何年もの間、Firefox は他のブラウザーよりも明確な優位性を持っていました。それは、ほぼすべてのことを行うことができる優れたアドオンの配列です。 WebExtensions の時代になると、この利点はほとんど失われます。しかし、Firefox の唯一のドメインであり続けたかなり重要なツール (拡張機能) の 1 つは、Noscript と呼ばれる巧妙でまったく素晴らしいセキュリティ スイートでした。これは、すべてのサイトで Javascript を制御する機能です。 さて、Chrome ユーザーも利用できるこのアドオンの新しいバージョンがあります。 Giorgio Maone も Chr