|
|
|
CookieSafe pour Firefox
Résumé
 |
CookieSafe pour Firefox est un module complémentaire à Firefox (et à Flock, Seamonkey et autres navigateurs basés sur Mozilla). Il est gratuit et Open Source. Il permet une gestion fine des Cookies. CookieSafe fait partie des 3 modules complémentaires de Firefox totalement indispensables ( NoScript, AdBlock Plus et CookieSafe).
|
|
|
Cibles
|
Cookies.
|
|
Télécharger
|
https://addons.mozilla.org/fr/firefox/addon/722
Taille : Sans objet
MD5 : Sans objet
SHA1 : Sans objet
Virus : Analyse antivirale et anti-spyware de votre téléchargement
Ne jamais télécharger un logiciel depuis un site autre que celui de son éditeur lui-même - Suivre les liens donnés par Assiste.com.
- Si taille supérieure à celle annoncée, il y a risque de dropper ou binder et/ou packer accolé + backdoor ou RAT ou BHO etc. ... produit transformé en cheval de Troie (trojan).
- Si taille inférieure à celle annoncée, il y a risque d'installation d'un downloader.
- Toujours vérifier la stricte exactitude du contenu téléchargé avec SummerProperties.
|
|
Acheter
|
| Produit |
Prix* |
Acheter |
| NoScript |
Gratuit |
 |
|
Les prix et le cours des monnaies (euros contre dollars) peuvent avoir changé depuis la dernière mise à jour de cette fiche. Certains annoncent des prix hors taxes auxquels il faut ajouter la TVA. L'achat en ligne consiste, la plupart du temps, en la simple communication d'une clé d'enregistrement de licence à appliquer sur la version de démonstration qui est déjà une version complète du produit. Vous disposez donc de votre licence légale immédiatement. Les prix donnés en dollars américains sont plus stables que leur conversion en € qui change tout le temps. Vous pouvez partir sur une idée de parité soit 1 us$ = 1 € donc, un produit valant 20 US$ vaut environ 20 €.
|
|
|
Résumé
| CookieSafe pour Firefox |
 Installation de CookieSafe :
Installation habituelle des extensions pour Firefox etc. ...
- Tout en naviguant sous Firefox
- Allez sur la page https://addons.mozilla.org/fr/firefox/addon/722
- Cliquez sur le bouton "Installer".
- Cliquez sur "Installer maintenant
- Redémarrer votre navigateur
Nota : Firefox fermera tous les onglets ouverts, redémarrera et rouvrira tous vos onglets instantanément, ce qui est particulièrement agréable.
- Il y a désormais, en bas à droite de la fenêtre du navigateur, un petit icône signalant la présence de l'extension NoScript et que de contenu actif est traité. Cet icône prend diverses apparences qui ont les significations suivantes :
 Tous les scripts de toutes les pages de ce site sont bloqués
 Certains scripts des pages de ce site sont bloqués (cas de sites utilisant des sous-cadres (frames) avec des contenus en provenance de plusieurs domaines (plusieurs URLs sur plusieurs domaines) dont certains ont été autorisés
 Tous les scripts de toutes les pages de ce site sont autorisés
 Tous les scripts sont autorisés pour tous les sites ! (Autant de pas installer NoScript !)
On remarquera aussi la présence d'une ligne additionnelle, juste au-dessus, signalant le nombre de scripts (et autres contenus actifs) bloqués et un bouton "Options" dont nous détaillerons l'usage plus bas.
Paramétrage de NoScript
- Commençons par paramétrer le navigateur lui-même afin que ses réglages n'interfèrent pas avec ceux de NoScript :
Veuillez, dans les paramètres de votre navigateur basé sur Gecko (Firefox, Mozilla Suite, SeaMonkey...) activer JavaScript et Java. C'est désormais NoScript qui prend en charge cette gestion d'activation / désactivation.
La désactivation de JavaScript et de Java dans les options du navigateur ne doit pas être utilisée (laisser JavaScript activé dans les options de ces navigateurs).
Dans Firefox, cliquez sur :
Outils > Options > Onglet "Contenu" et cochez les cases "Activer JavaScript" et "Activer Java".
Cliquez sur le bouton "Avancé" et décochez toutes les cases car ces comportements sont à bannir même si vous autorisez un site, avec NoScript, à utiliser ses scripts.
- En bas à droite de la fenêtre de votre navigateur, faire un clic avec n'importe quel bouton de la souris sur l'icône NoScript pour faire apparaître le menu contextuel de NoScript puis cliquez sur "Options". Nous allons le paramétrer.
- Panneau "Général"
Autoriser temporairement les sites de premier niveau par défaut.
Il est conseillé de laisser cette case décochée (elle est décochée par défaut). Lorsqu'elle est cochée, le premier niveau d'URL d'un domaine (généralement la page d'accueil d'un site mais pas toujours) est autorisé à exécuter ses scripts systématiquement (à l'exclusion, toutefois, des scripts dans des sous-cadres (frames), des objets embarqués (objets média...) et des scripts de sites que vous avez marqué "Non fiables".
Clic gauche sur le bouton de la barre d'outils NoScript inverse les permissions pour le site de premier niveau en cours
Cette option permet un "raccourcis" pour autoriser / bloquer rapidement l'exécution des scripts sur un site. Il est recommandé de laisser cette case décochée et de cliquer sur le bouton option afin de voir ce qui se passe. Si vous souhaitez utiliser ce raccourcis, faites-le précisément (pour les adresses complètes).
Recharger les pages affectées automatiquement après avoir changé les permissions
Cochez cette case. Ceci vous évitera d'avoir à cliquer sur le bouton "Actualiser la page courante". La page actuellement affichée sera ré-affichée automatiquement en tenant compte de vos derniers paramétrages.
Autoriser les sites ouverts par les marque-pages
Dépend de la manière dont vous remplissez vos marque-pages (signets). Si vos marque-pages (signets) sont tous des sites de confiance, vous pouvez cocher cette case sinon la laisser décocher. Si vous autorisez les sites ouverts par les marque-pages, ceux-ci deviennent une seconde liste blanche.
Autoriser les sites globalement
Ne jamais cocher cette case (ou alors, autant désinstaller NoScript !).
- Panneau "Liste blanche"
Liste de vos sites de confiance. Toutes les pages de tous ces sites sont autorisées à exécuter leurs scripts. Les boutons "Importer" et "Exporter" permettent de sauvegarder votre liste blanche ou d'en importer une (format texte).
- Panneau "Greffons" (plugins)
Outre les scripts de type JavaScript, NoScript permet aussi de bloquer les autres contenus actifs ( Java™, Silverlight™, Flash® et autres greffons (plugins) se trouvant sur les pages Web des sites non fiables (tous les sites Internet par défaut).
Si seul Java est bloqué par défaut (en plus de JavaScript qui est le fonctionnement principal de NoScript), plusieurs autres greffons (plugins) peuvent également être bloqués. Ceci ajoute, outre l'élément de sécurité, un élément de vitesse puisque les contenus média ne seront alors par téléchargés du tout, libérant ainsi votre bande passante Internet et accélérant considérablement la vitesse d'affichage des pages qui, en sus, apparaissent beaucoup plus "propres". Un gain substantiel est, par exemple, la suppression des musiques de fond dont nous affligent certains Webmasters fiers de leurs choix, très sûrs pour eux mais d'une nullité crasse pour les visiteurs que l'on tente de transformer en auditeurs exaspérés.
Tout ce que vous trouvez ennuyeux peut ainsi être bloqué puis, si sur un site en particulier, il vous semble qu'une fonction manque, vous pouvez alors l'autoriser en l'introduisant dans votre liste blanche (et à condition que la case "Appliquer ces restrictions également aux sites de confiance" ne soit pas cochée).
Interdire <IFRAME>
Cette case devrait toujours être cochée. <IFRAME> est une possibilité, sur une page Web, de faire apparaître le contenu d'un autre site sur le sien comme si ce contenu était le sien et appartenait à la page courante - ce contenu peut être visible ou invisible (voir caché). Cette possibilité est massivement employée pour piéger des pages Web et faire exécuter sur une page un contenu actif (injection de code) venant d'ailleurs et tentant d'échapper au contrôle effectué sur le site courant (sur l'URL courante). Un échange de données peut également être établi entre les deux sites (Cross Site Scripting - Xss). <IFRAME> doit toujours être interdit. Toutefois, si vous étendez le blocage des plugins aux sites dans votre liste blanche (case cochée "Appliquer ces restrictions également aux sites de confiance") et si vous utilisez l'option XSS (voir panneau "Avancé" - onglet "XSS"), cocher cette case <IFRAME> n'apporte pas grand chose de plus car vous êtes, à ce moment là, convenablement protégé contre les exploits basés sur la faille <IFRAME>.
Afficher l'emplacement fictif de l'objet bloqué
Cochez cette case, ce qui permet de voir qu'il manque quelque chose et, également, de préservé la mise en page.
Demander confirmation avant de débloquer un objet
Cochez cette case
Selon ce que vous mettez dans votre liste blanche, vous pouvez laisser décochée la case "Appliquer ces restrictions également aux sites de confiance". Dans ce cas les sites de confiance sont "entièrement de confiance", pour leurs scripts comme pour leurs autres contenus actifs.
- Panneau "Apparences"
Ici est choisi ce qui va être affiché lorsque l'on clique sur le bouton "option", en bas à droite de la fenêtre du navigateur.
- Panneau "Notifications"
Ici est choisi la manière dont NoScript interagit avec vous.
- Panneau "Avancé - Non Fiable"
S'applique à tous les sites marqués "Non Fiables" dans votre liste de "Non Fiables" ainsi qu'à tous les nouveaux sites qui sont considérés comme "Non fiables" par défaut.
- Panneau "Avancé - Fiable"
S'applique à tous les sites que vous avez inscrits dans votre liste blanche.
- Panneau "Avancé - XSS"
Gestion du Cross Script Scripting
Ce paramétrage supprime le passage d'arguments dans les requêtes d'un site à un autre site. Des exceptions peuvent être spécifiées en utilisant des "expressions régulières" (une par ligne).
- Panneau "Avancé - JAR"
JAR = Java ARchive.
Les fichiers .jar sont des fichiers compressés avec l'algorithme de compression ZIP et contenant un ensemble de "classes" Java et de méta-données constituant un programme. Ce paramétrage permet de bloquer le chargement de ressources Java sous forme JAR lorsqu'elles sont manipulées comme des documents. Des exceptions peuvent être spécifiées en utilisant des "expressions régulières" (une par ligne).
Apprenons à naviguer avec NoScript
Maintenant que NoScript est installé et paramétré, vous pouvez naviguer paisiblement sur l'Internet. Lorsqu'un site contient du contenu actif et que ce site n'est pas en liste blanche, un bouton apparaît en bas à droite de votre fenêtre de navigation. Cliquez dessus, éventuellement, pour :
- autoriser temporairement ce site à exécuter ses scripts
- autoriser définitivement ce site à exécuter ses scripts
- bloquer définitivement ce site en le déclarant "non fiable"
- Autorisations / Interdictions
Parfois (souvent), en cliquant sur ce bouton, vous verrez apparaître plusieurs sites et non pas un seul. Par exemple, en allant sur le site de Canal PLus puis en cliquant sur le bouton "Options" qui est apparu, on peut voir qu'en réalité nous avons à faire à 3 domaines (3 sites ) et 2 sous-domaines (2 sites rattachés à des noms de domaines). Pour l'instant, tous les 5 sont interdit d'exécution de leurs scripts :
canalplus.fr
canal-plus.com
media.canal-plus.com
doubleclick.net
fls.doubleclick.net
Pour l'instant ces 5 là sont "non fiables" et "interdit" - par défaut. Ce cas de figure va se présenter très souvent. Qui faut-il autoriser ? Ne vous laissez jamais dominer par votre ordinateur. C'est vous qui naviguez sur le Net, ce n'est pas au Net de vous traîner là où vous ne voulez pas aller ni à faire entrer dans votre maison (dans votre ordinateur et sur son écran) ce que vous ne voulez pas y accueillir.
Dans le cas présent, nous ferons (vous apprendrez très vite à avoir ce genre de réflexes) :
canalplus.fr (mise en liste blanche). C'est le site principal que nous souhaitons visiter - c'est un site institutionnel d'une grande société qui aurait tout à perdre à piéger ses pages donc nous lui faisons confiance.
canal-plus.com (mise en liste blanche). C'est un autre site institutionnel de canal-plus. Compte tenu de la puissance financière de ce groupe on peut être assuré qu'ils n'ont pas laissé un squatter exploiter cet autre nom de domaine qui est sans ambiguïté un de leurs domaines.
media.canal-plus.com (mise en liste blanche). Il s'agit, ici, d'un sous domaine du précédent. Nous avons mis le précédent en liste blanche donc la conséquence est immédiate : le sous-domaine est automatiquement et implicitement en liste blanche.
doubleclick.net (interdit). Nous laissons ce domaine en "interdit". Pourquoi ? Vous ne le savez pas encore mais cela s'apprend, soit en posant des questions à Google , soit en allant sur le domaine doubleclick.net pour voir qui ils sont et ce qu'ils font, soit en testant (en autorisant - pour voir ce qu'il se passe). Dans le cas présent, nous savons que DoubleClick est une régie publicitaire et nous connaissons sont fameux cookie qui donne des boutons aux Internautes depuis des années. Nous conservons doubleclick.net en "interdit".
fls.doubleclick.net (interdit). Il s'agit, ici, d'un sous domaine du précédent, en conséquence il est donc implicitement interdit.
- Avant :
- Après :
- Plugins bloqués
Si l'on observe l'affichage à l'écran de la page Canal Plus nous servant d'exemple, on peut y voir le logo de NoScript. Ceci signifie qu'à cet endroit, un plugin est actuellement bloqué. On peut cliquer dessus. Une fenêtre s'ouvre pour nous montrer le script bloqué. Même sans être informaticien, un internaute lambda voit la balise <IFRAME> dont nous avons dit un peu de mal ci-dessus et un lien vers le domaine DoubleClick dont nous avons dit encore plus de mal ici et ailleurs. Donc, bien que canalplus.fr soit désormais en liste blanche et que le paramétrage des plugins autorise les plugins pour les domaines en liste blanche, le paramétrage "Avancé - XSS" bloque ce script. Sans aucun remords, et même nous ne touchons à rien
Observations
NoScript bloque totalement tout le contenu actif géré par des scripts JavaScript ou par des applets Java sur tous les domaines (sites) de l'Internet.
Il ne l'autorise qu'au coup par coup, dans le cadre d'une liste blanche de domaines que vous avez autorisés, personnellement, en fonction de votre navigation (il n'y a aucune notion de liste blanche publique - vous n'avez qu'une liste blanche, la votre).
L'autorisation peut être temporaire (juste pour la session en cours et au prochain re-démarrage de session l'autorisation sera tombée) ou définitive (le nom de domaine est alors introduit dans votre liste blanche).
NoScript permet donc de se prémunir totalement contre tous les scripts hostiles et des exploitations des failles de sécurité des langages de contenus actifs (Java...). Les attaques de type Drive-by download, par exemple, sont bloquées.
Attention
NoScript ne fonctionne qu'en tant qu'extension de Firefox, Mozilla Suite et SeaMonkey. NoScript ne protège absolument pas votre navigation sous Internet Explorer (le générateur de failles en flux continu). NoScript n'a aucune action contre la technologie ActiveX et son cortège d'hostilités.
Attention à ce que vous autorisez :
Avec NoScript, la première fois que vous allez sur un domaine (sur un site), tous les scripts de ce site sont bloqués. Si les pages de ce site contiennent un piège, celui-ci est bloqué aussi. Observez le site et, à son apparence, son contenu, ses liens etc. ... faites-vous une opinion sur celui qui est derrière ce site (si vous êtes un internaute débutant, vous vous apercevrez que l'on apprend vite, mais à ses dépens, à se faire une opinion sur ce qui est derrière les apparences. Si vous êtes un internaute chevronné maîtrisant HTML et JavaScript, affichez le code source de la page). Il peut être nécessaire d'autoriser JavaScript pour ce site de manière à accéder aux menus de navigation dans le site mais, à ce moment là, ce sont tous les scripts de ce site qui vont être autorisés, y compris un script hostile s'il y en a un. Soyez prudent et ne perdez jamais votre esprit critique.
L'intérêt de NoScript est donc de protéger contre le lancement automatique d'un JavaScript hostile lorsque l'on entre sur une page Web inconnue - mais comme généralement cette page utilise aussi du JavaScript pour son simple fonctionnement normal (clic sur un lien, navigation dans le site etc. ...), le risque qu'un piège se referme doit être mesuré à l'aulne de ce que vous avez entre les oreilles. Aucune protection au monde ne protège du mode j'men foutiste !
Conclusion
Installez NoScript de Symantec (un autre NoScript qui n'a rien à voir avec celui de Firefox)
Installez NoScript (et naviguez avec FireFox, bien sûr)
Installez un proxy local comme SpyBlocker ou The Proxomitron
Attention aux autorisations données
- Exemple 1
Dans la capture d'écran ci-dessus qui est faite alors que le forum http://assiste.forum.free.fr est en cours de consultation, il est proposé d'autoriser le contenu actif sur le domaine free.fr. Non ! Ce serait autoriser d'un coup le contenu actif sur les 120.000 sites Internet hébergés en sous-domaines sur le domaine free.fr. Vous devez cliquez sur la seconde ligne du menu : "Options" et saisir l'url exacte (sans le protocole (sans le "http://")) du site autorisé (Voir image ci-après) ou, meilleure solution, aller dans l'onglet "Apparence" et cocher la case "Domaine complet".
- Exemple 2
Dans la capture d'écran ci-dessous, 2 domaines sont proposés aux autorisations ou interdictions. Soyez vigilant en autorisant le bon site (ici StopBadware.org) et non pas les autres sites appelés par le premier avec du JavaScript (ici Google-Analytics.com qui est un adserver et le script en JavaScript qui l'appelle qui est un adware - Ce dernier cas est un exemple de l'intérêt d'utiliser un outil comme SpyBlocker ou The Proxomitron qui, travaillant en proxy local, reconnaîtraient à la volée l'adserver et l'adware). L'utilisation simultanée du plugin AdBlock Plus avec NoScript, dans Firefox, est vivement recommandée.
|
|
 |
|
