Anti Script

Comment lutter et se défendre contre les scripts JavaScript hostiles

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
abc de la sécurité
Safe Cex
Safe Attitude

Le bon Antivirus
Le bon Pare-feu (firewall)
Le bon Anti-trojans
Le bon Proxy
Le bon Anti-Spam
Le bon Contrôleur d'intégrité
Le bon navigateur Internet
Le bon client de messagerie
Le bon nettoyeur de traces internes (gratuit)
Le bon nettoyeur de traces MRUs (gratuit)
Quelques Réglages de sécurité (gratuit)
Quelques autres réglages de sécurité (gratuit)
Quelques ActiveX bloqués (gratuit)
Quelques Spywares bloqués (gratuit)
Quelques sites bloqués (gratuit)
Une boîte à outils (gratuit)
La protection proactive contre les failles de sécurité
 
 
En 2 mots
Installez et exécutez Le bon Proxy
Installer le petit outil gratuit de Symantec / Norton, appelé NoScript
Dans votre navigateur, accepter JavaScript mais interdire Java (sauf liste blanche de quelques sites autorisés)
Interdire ActiveX dans Internet Explorer
Naviguez avec FireFox, son extension NoScript et l'autre extension indispensable : AdBlock Plus - tout est gratuit et open-source.


Pour aller plus loin
Installez et utilisez Firefox en remplacement avantageux d'Internet Explorer et son extention NoScript.


Pour comprendre
Qu'est-ce qu'un script ?


Les scripts étant du code à l'intérieur des pages Web reçues, il y a deux approches.
  1. Approche brutale et imbécile
    Bloquer tous les langages de script dans votre ordinateur (bloquer tous leurs interpréteurs : JavaScript, Java, VBScript etc...), indistinctement, au risque de quasiment tout bloquer (car les scripts ne sont pas tous hostiles). Les navigateurs proposent des réglages plus ou moins fins de gestion des divers langages de scripts dans leurs options. L'une des options consiste à bloquer totalement chaque langage de script : il faut tout de même savoir que sans aucun script un site ne fonctionne pas, donc nous ne bloquerons pas totalement les langages de script au niveau de ces options de réglage des navigateurs. On peut toutefois bloquer totalement les contrôles ActiveX qui peuvent être extrêmement dangereux et sont très peu utilisés sauf pour conduire des attaques. Il faut régler son navigateur car c'est là que cela se passe. 3 options :

    1. Accepter systématiquement tous les scripts (ouvre les portes à la malveillance).
    2. Refuser systématiquement tous les scripts (ferme les portes à bien des sites qui ne fonctionneront pas).
    3. Demander à être alerté. Ceci, au prix d'une perte de confort, permet de savoir quand un script souhaite s'exécuter et c'est à vous d'acceptez ou non : certains sites utilisent plusieurs scripts sur chaque page ce qui peut vite devenir énervant - vous avez alors le choix entre :
      1. Refusez pour voir si le site fonctionne tout de même, c'est la cas la plupart du temps et il n'y a que des fonctionnalités connexes qui deviennent indisponibles
      2. Revenez sur la page (ré-actualiser avec F5 dans IE par exemple ou en cliquant sur "Actualiser") et acceptez
      3. Laissez tomber ce site et passez à un autre site.

  2. Approche subtile et intelligente
    SpyBlocker permet d'analyser et filtrer le flux entrant à la volée, en temps réel. Il existe plusieurs outils du type de SpyBlocker, plus ou moins intelligents, lisant le code des pages Web lorsqu'elles arrivent, avant qu'elles ne soient prises en charge par votre navigateur internet, et qualifiant les scripts selon les types instructions qu'ils contiennent (conforméments aux paramétrages que vous avez donnez à votre anti-script) - SpyBlocker vole largement au-dessus de la mélée. Le code des pages Web est ré-écrit à la volée, en temps réel, et ce n'est qu'ensuite qu'il est passé à votre navigateur Internet. Ainsi :
    • les scripts créant, lisant, écrivant, ré-écrivant des cookies peuvent être gérés (bloqués ou modifiés pour ne créer que des cookies de session et non pas des cookies définitifs...
    • les scripts modifiant votre affichage peuvent être interdits
    • les scripts faisant référence à des serveurs autres que le serveur du site visité peuvent être bloqués
    • les scripts permettant la "rotation" des affichages publicitaires peuvent être inhibés
    • les scripts considérés hostiles sont purement et simplement effacés
    • les préfixe d'URLs utilisés en tracking sont effacés
    • etc. ...
    A ce petit jeu, les gagnants sont : Proxomitron (tous navigateurs) pour les gratuits (mais ce produit, assez technique à utiliser, est abandonné depuis des années suite au décès de son concepteur) et SpyBlocker (tous navigateurs - un vingtaine d'€ - cet outil s'utilise les yeux fermés (on l'installe et on l'oublie pour les années à venir)). On ajoute Guard-IE uniquement, comme son nom l'indique, dans un environnement Internet Explorer mais nous recommandons de ne jamais utiliser Internet Explorer pour naviguer sur le Net : utilisez Firefox.

    Compte tenu des puissances de calcul des PC, l'overhead (le temps additionnel pris par ces filtres temps réel) est insignifiant et totalement invisible à l'humain - sans compter le temps gagné grâce à des fonctions qui ne s'exécuteront pas, des publicités qui ne seront ni chargées ni affichées etc. ...


Exemple
Un exemple valant mieux qu'un long discours, voici une série de scripts gérant, dans une même page, des publicités en Pop-Under, Interstitiel, Bannières et usage d'un Cookie. Il s'agit d'un "morceau" du flux html d'une page réelle et "très didactique" sur le site "Virus Bulletin" (le 21.10.2003). On y voit très distinctement 3 scripts pour 3 formes publicitaires et on y met aussi en évidence l'utilisation des cookies:
  1. Script 1 : Cookie et Pop-under
    Le premier script pilote un cookie qui va permettre à la régie publicitaire "fastclick.com", avec laquelle Virus Bulletin travaille, d'afficher et gérer des pop-under depuis l'adserver "media.fastclick.net".

  2. Script 2 : Interstitiel
    Le second script pilote un second cookie qui va permettre à la même régie publicitaire d'afficher, toutes les 15 minutes, un interstitiel.

  3. Script 3 : Bannière publicitaire
    Le troisième script gère l'affichage et la rotation d'affichage d'une bannière publicitaire en haut de la page.

    On en profitera pour ajouter les lignes suivantes dans notre liste Hosts si elles n'y sont déjà (incluant un autre gestionnaire de pop-under trouvé sur une autre de leurs pages).
    127.0.0.1 fastclick.com
    127.0.0.1 www.fastclick.com
    127.0.0.1 media.fastclick.net
    127.0.0.1 www.media.fastclick.net
    127.0.0.1 earth.goclick.com
    127.0.0.1 www.earth.goclick.com
    127.0.0.1 goclick.com
    127.0.0.1 www.goclick.com

Le code Html de la page

<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<meta name="GENERATOR" content="Microsoft FrontPage 4.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<title>Virus Bulletin</title>

<!-- FASTCLICK.COM POP-UNDER CODE v1.7e for virus-bulletin.com -->

<script language="javascript"><!--
var doc=document; var url=escape(doc.location.href); var date_ob=new Date();
doc.cookie='h2=o; path=/;';var bust=date_ob.getSeconds();
if(doc.cookie.indexOf('e=llo') <= 0 && doc.cookie.indexOf('2=o') > 0){
doc.write('<scr'+'ipt language="javascript" src="http://media.fastclick.net');
doc.write('/w/pop.cgi?sid=4671&m=2&v=1.7e&u='+url+'&c='+bust+'"></scr'+'ipt>');
date_ob.setTime(date_ob.getTime()+43200000);
doc.cookie='he=llo; path=/; expires='+ date_ob.toGMTString();} // -->
</script>

<!-- FASTCLICK.COM POP-UNDER CODE v1.7e for virus-bulletin.com -->

<!-- FASTCLICK.COM INTERSTITIAL HEAD CODE v1.0 for virus-bulletin.com -->

<script language="javascript"><!--
function FCx(x){
var min=15; // minimum minutes between interstitials (needs to be >15)
if(x.indexOf('get.media')>0){
x=unescape(x.substring(x.indexOf('&url=')+5,x.length));
}else{
if(document.cookie.indexOf('CxIC=1')<=0){
x='http://media.fastclick.net/w/get.media?sid=4671&m=5&url='+escape(x);
var date_ob=new Date();
date_ob.setTime(date_ob.getTime()+min*1000*60);
document.cookie='FCxIC=1; path=/; expires='+date_ob.toGMTString();
}
}
return x
}
// -->
</script>

<!-- FASTCLICK.COM INTERSTITIAL HEAD CODE v1.0 for virus-bulletin.com -->

</head>
<body topmargin="0" leftmargin="0" link="#FFFFFF" vlink="#FFFFFF" alink="#FFFFFF">

<!-- FASTCLICK.COM InVue CODE v1.0 for virus-bulletin.com -->

<script language="javascript"><!--
var doc=document; if(doc.all && doc.getElementById){
var url=escape(doc.location.href);var mjo=Math.floor(Math.random()*7777);
doc.cookie='h2=o; path=/;'; var ht=doc.body.clientHeight;var wt=doc.body.clientWidth;
if(doc.cookie.indexOf('n=vue') <= 0 && ht>400 && wt>400 && doc.cookie.indexOf('2=o') > 0){
doc.write('<scr'+'ipt language="javascript" src="http://media.fastclick.net');
doc.write('/w/get.media?sid=4671&tm=12&m=4&u='+url+'&c='+mjo+'"></scr'+'ipt>');}} // -->
</script>

<!-- FASTCLICK.COM InVue CODE v1.0 for virus-bulletin.com -->

... / ... suit le reste de la page avec 1 web bug et 2 traceurs ... / ...



Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com


Historique des révisions de ce document :

Proposer une révision, une correction, un complément, faire un feedback
29.10.2006 Up V4
 
   
Rédigé en écoutant :
Music