|
|
|
NoScript pour Firefox
Résumé
 |
NoScript pour Firefox est un module complémentaire à Firefox (et à Flock, Seamonkey et autres navigateurs basés sur Mozilla). Il est gratuit et Open Source. Il bloque presque tout le contenu publicitaire de toutes les pages Web (pages des sites Internet) sauf pour vos sites de confiance (les sites introduits dans votre liste blanche par vous-même) ou pour des règles d'autorisation fixées par vous. NoScript fait partie des 3 modules complémentaires de Firefox totalement indispensables ( NoScript, AdBlock Plus et CookieSafe).
|
|
|
Cibles
|
Contenus actifs des pages Web (Java et JavaScript)
|
|
Télécharger
|
https://addons.mozilla.org/fr/firefox/addon/722
Taille : Sans objet
MD5 : Sans objet
SHA1 : Sans objet
Virus : Analyse antivirale et anti-spyware de votre téléchargement
Ne jamais télécharger un logiciel depuis un site autre que celui de son éditeur lui-même - Suivre les liens donnés par Assiste.com.
- Si taille supérieure à celle annoncée, il y a risque de dropper ou binder et/ou packer accolé + backdoor ou RAT ou BHO etc. ... produit transformé en cheval de Troie (trojan).
- Si taille inférieure à celle annoncée, il y a risque d'installation d'un downloader.
- Toujours vérifier la stricte exactitude du contenu téléchargé avec SummerProperties.
|
|
Acheter
|
| Produit |
Prix* |
Acheter |
| NoScript |
Gratuit |
 |
|
Les prix et le cours des monnaies (euros contre dollars) peuvent avoir changé depuis la dernière mise à jour de cette fiche. Certains annoncent des prix hors taxes auxquels il faut ajouter la TVA. L'achat en ligne consiste, la plupart du temps, en la simple communication d'une clé d'enregistrement de licence à appliquer sur la version de démonstration qui est déjà une version complète du produit. Vous disposez donc de votre licence légale immédiatement. Les prix donnés en dollars américains sont plus stables que leur conversion en € qui change tout le temps. Vous pouvez partir sur une idée de parité soit 1 us$ = 1 € donc, un produit valant 20 US$ vaut environ 20 €.
|
|
|
Résumé
| NoScript pour Firefox |
 Installation de NoScript :
Installation habituelle des extensions pour Firefox etc. ...
- Tout en naviguant sous Firefox
- Allez sur la page https://addons.mozilla.org/fr/firefox/addon/722
- Cliquez sur le bouton "Installer".
- Cliquez sur "Installer maintenant
- Redémarrer votre navigateur
Nota : Firefox fermera tous les onglets ouverts, redémarrera et rouvrira tous vos onglets instantanément, ce qui est particulièrement agréable.
- Il y a désormais, en bas à droite de la fenêtre du navigateur, un petit icône signalant la présence de l'extension NoScript et que de contenu actif est traité. Cet icône prend diverses apparences qui ont les significations suivantes :
 Tous les scripts de toutes les pages de ce site sont bloqués
 Certains scripts des pages de ce site sont bloqués (cas de sites utilisant des sous-cadres (frames) avec des contenus en provenance de plusieurs domaines (plusieurs URLs sur plusieurs domaines) dont certains ont été autorisés
 Tous les scripts de toutes les pages de ce site sont autorisés
 Tous les scripts sont autorisés pour tous les sites ! (Autant de pas installer NoScript !)
On remarquera aussi la présence d'une ligne additionnelle, juste au-dessus, signalant le nombre de scripts (et autres contenus actifs) bloqués et un bouton "Options" dont nous détaillerons l'usage plus bas.
Paramétrage de NoScript
- Paramétrage du navigateur
Commençons par paramétrer le navigateur lui-même afin que ses réglages n'interfèrent pas avec ceux de NoScript :
Veuillez, dans les paramètres de votre navigateur basé sur Gecko (Firefox, Mozilla Suite, SeaMonkey...) activer JavaScript et Java. C'est désormais NoScript qui prend en charge cette gestion d'activation / désactivation.
La désactivation de JavaScript et de Java dans les options du navigateur ne doit pas être utilisée (laisser JavaScript activé dans les options de ces navigateurs).
Dans Firefox, cliquez sur :
Outils > Options > Onglet "Contenu" et cochez les cases "Activer JavaScript" et "Activer Java".
Cliquez sur le bouton "Avancé" et décochez toutes les cases car ces comportements sont à bannir même si vous autorisez un site, avec NoScript, à utiliser ses scripts.
- Accès aux options de paramétrage de NoScript
En bas à droite de la fenêtre de votre navigateur, faire un clic avec n'importe quel bouton de la souris sur l'icône NoScript pour faire apparaître le menu contextuel de NoScript puis cliquez sur "Options". Nous allons le paramétrer.
- Panneau "Général"
Autoriser temporairement les sites de premier niveau par défaut.
Il est conseillé de laisser cette case décochée (elle est décochée par défaut). Lorsqu'elle est cochée, le premier niveau d'URL d'un domaine (généralement la page d'accueil d'un site mais pas toujours) est autorisé à exécuter ses scripts systématiquement (à l'exclusion, toutefois, des scripts dans des sous-cadres (frames), des objets embarqués (objets média...) et des scripts de sites que vous avez marqué "Non fiables".
Clic gauche sur le bouton de la barre d'outils NoScript inverse les permissions pour le site de premier niveau en cours
Cette option permet un "raccourci" pour autoriser / bloquer rapidement l'exécution des scripts sur un site. Il est recommandé de laisser cette case décochée et de cliquer sur le bouton option afin de voir ce qui se passe. Si vous souhaitez utiliser ce raccourci, faites-le précisément (pour les adresses complètes).
Recharger les pages affectées automatiquement après avoir changé les permissions
Cochez cette case. Ceci vous évitera d'avoir à cliquer sur le bouton "Actualiser la page courante". La page actuellement affichée sera ré-affichée automatiquement en tenant compte de vos derniers paramétrages.
Autoriser les sites ouverts par les marque-pages
Dépend de la manière dont vous remplissez vos marque-pages (signets). Si vos marque-pages (signets) sont tous des sites de confiance, vous pouvez cocher cette case sinon la laisser décocher. Si vous autorisez les sites ouverts par les marque-pages, ceux-ci deviennent une seconde liste blanche.
Autoriser les sites globalement
Ne jamais cocher cette case (ou alors, autant désinstaller NoScript !).
Il faut considérer cette case comme un outil de test, pratique dans un seul cas : vérifier si un blocage provient de Noscript (mais seulement si on est sur un site fiable, bien sûr).
- Panneau "Liste blanche"
Liste de vos sites de confiance. Toutes les pages de tous ces sites sont autorisées à exécuter leurs scripts. Les boutons "Importer" et "Exporter" permettent de sauvegarder votre liste blanche ou d'en importer une (format texte).
- Panneau "Greffons" (plugins)
Outre les scripts de type JavaScript, NoScript permet aussi de bloquer les autres contenus actifs ( Java™, Silverlight™, Flash® et autres greffons (plugins) se trouvant sur les pages Web des sites non fiables (tous les sites Internet par défaut).
Si seul Java est bloqué par défaut (en plus de JavaScript qui est le fonctionnement principal de NoScript), plusieurs autres greffons (plugins) peuvent également être bloqués. Ceci ajoute, outre l'élément de sécurité, un élément de vitesse puisque les contenus média ne seront alors par téléchargés du tout, libérant ainsi votre bande passante Internet et accélérant considérablement la vitesse d'affichage des pages qui, en sus, apparaissent beaucoup plus "propres". Un gain substantiel est, par exemple, la suppression des musiques de fond dont nous affligent certains Webmasters fiers de leurs choix, très sûrs pour eux mais d'une nullité crasse pour les visiteurs que l'on tente de transformer en auditeurs exaspérés.
Tout ce que vous trouvez ennuyeux peut ainsi être bloqué puis, si sur un site en particulier, il vous semble qu'une fonction manque, vous pouvez alors l'autoriser en l'introduisant dans votre liste blanche (et à condition que la case "Appliquer ces restrictions également aux sites de confiance" ne soit pas cochée).
Interdire <IFRAME>
Cette case devrait toujours être cochée. <IFRAME> est une possibilité, sur une page Web, de faire apparaître le contenu d'un autre site sur le sien comme si ce contenu était le sien et appartenait à la page courante - ce contenu peut être visible ou invisible (voir caché). Cette possibilité est massivement employée pour piéger des pages Web et faire exécuter sur une page un contenu actif (injection de code) venant d'ailleurs et tentant d'échapper au contrôle effectué sur le site courant (sur l'URL courante). Un échange de données peut également être établi entre les deux sites (Cross Site Scripting - Xss). <IFRAME> doit toujours être interdit. Toutefois, si vous étendez le blocage des plugins aux sites dans votre liste blanche (case cochée "Appliquer ces restrictions également aux sites de confiance") et si vous utilisez l'option XSS (voir panneau "Avancé" - onglet "XSS"), cocher cette case <IFRAME> n'apporte pas grand chose de plus car vous êtes, à ce moment là, convenablement protégé contre les exploits basés sur la faille <IFRAME>.
Afficher l'emplacement fictif de l'objet bloqué
Cochez cette case, ce qui permet de voir qu'il manque quelque chose et, également, de préserver la mise en page. L'objet manquant est figuré, sur la page, par le logo semi transparent de NoScript. Exemple :
Demander confirmation avant de débloquer temporairement un objet
Vous pouvez cliquer sur une zone de l'écran contenant un script bloqué afin de le débloquer. L'objet reçoit alors une autorisation temporaire d'exécution. Cochez cette case de manière à ce que le lancement d'un tel script soit précédé d'une demande de confirmation.
Appliquer ces restrictions également aux sites de confiance
Selon ce que vous mettez dans votre liste blanche, vous pouvez :
- Laissez décochée cette case. Dans ce cas, les sites de confiance sont "entièrement de confiance", pour leurs scripts comme pour leurs autres contenus actifs
- Cochez cette case. Dans ce cas, les sites de confiance sont de confiance pour JavaScript et ne sont pas de confiance pour les restrictions supplémentaires exprimées.
- Panneau "Apparences"
Ici est choisi ce qui va être affiché lorsque l'on clique sur le bouton "option", en bas à droite de la fenêtre du navigateur.
- Panneau "Notifications"
Ici est choisi la manière dont NoScript interagit avec vous.
- Panneau "Avancé - Non Fiable"
S'applique à tous les sites marqués "Non Fiables" dans votre liste de "Non Fiables" ainsi qu'à tous les nouveaux sites qui sont considérés comme "Non fiables" par défaut.
Interdire les bookmarklets :
Les "bookmarklets" sont de petits scripts qui peuvent être inclus dans un lien (HTML ou marque-pages...)
Interdire <a ping...>
Instruction "ping" que l'on peut trouver dans certaines URL (dans certains liens) et servant de traceur pour comptabiliser les clics des visiteurs. J'invite ceux qui souhaitent savoir de quoi il s'agit à lire, par exemple, cette page.
Cacher les éléments <NOSCRIPT>
Un script JavaScript peut être prévu, par son développeur, pour afficher un contenu de remplacement lorsque JavaScript est désactivé chez le visiteur du site. Ce contenu est mis entre les balises <noscript> et </noscript> d'un script. Le contenu peut être un texte du genre "Ce site nécessite JavaScript pour fonctionner - Merci de l'activer". Ce peut aussi être n'importe quoi d'autre, au bon vouloir du webmaster, y compris une duplication complète de la page sans script (le webmaster développant alors son site pour ceux ayant JavaScript et pour ceux le refusant)... Vous pouvez donc demander à ce que ces contenus alternatifs ne soient pas utilisés en cochant cette case.
Interdire les "Web Bugs"
Les "Web Bugs" sont des images microscopiques et invisibles (images de 1 pixel transparent, par exemple) situées sur des serveurs de tracking. Elles sont utilisées uniquement pour l'espionnage de votre navigation. Il est préférable de les désactiver. Pour en savoir plus, lire Web Bugs. Elles permettent au serveur de récupérer toutes ces informations et celles-ci.
Interdire les redirections META dans des éléments <NOSCRIPT>
Ceci se trouve entre les balises <noscript> et </noscript> d'un script. Il s'agit de vous rediriger en utilisant une balise de redirection immédiate, généralement vers une page spéciale du site vous expliquant qu'il faut JavaScript pour pouvoir naviguer sur le site (mais le lien de redirection peut rediriger vers n'importe quel page du Web. Exemple :
<noscript><META http-equiv="refresh" content="0";URL=/erreur_javascript.html"></noscript>.
Vous pouvez donc demander à ne pas être redirigé.
Essayer de réparer les liens JavaScript
Lorsque des liens sont écrits avec du JavaScript et alors que NoScript bloque JavaScript pour ce site, il peut tenter de reconstruire des liens "normaux" en remplacement des liens en JavaScript
- Panneau "Avancé - Fiable"
S'applique à tous les sites que vous avez inscrits dans votre liste blanche.
- Panneau "Avancé - XSS"
Gestion du Cross Script Scripting
Ce paramétrage supprime le passage d'arguments dans les requêtes d'un site à un autre site. Des exceptions peuvent être spécifiées en utilisant des "expressions régulières" (une par ligne).
- Panneau "Avancé - JAR"
JAR = Java ARchive.
Les fichiers .jar sont des fichiers compressés avec l'algorithme de compression ZIP et contenant un ensemble de "classes" Java et de méta-données constituant un programme. Ce paramétrage permet de bloquer le chargement de ressources Java sous forme JAR lorsqu'elles sont manipulées comme des documents. Des exceptions peuvent être spécifiées en utilisant des "expressions régulières" (une par ligne).
Apprenons à naviguer avec NoScript
Maintenant que NoScript est installé et paramétré, vous pouvez naviguer paisiblement sur l'Internet. Lorsqu'un site contient du contenu actif et que ce site n'est pas en liste blanche, un bouton apparaît en bas à droite de votre fenêtre de navigation. Cliquez dessus, éventuellement, pour :
- autoriser temporairement ce site à exécuter ses scripts
- autoriser définitivement ce site à exécuter ses scripts
- bloquer définitivement ce site en le déclarant "non fiable"
- Autorisations / Interdictions
Parfois (souvent), en cliquant sur ce bouton, vous verrez apparaître plusieurs sites et non pas un seul. Par exemple, en allant sur le site de Canal PLus puis en cliquant sur le bouton "Options" qui est apparu, on peut voir qu'en réalité nous avons à faire à 3 domaines (3 sites ) et 2 sous-domaines (2 sites rattachés à des noms de domaines). Pour l'instant, tous les 5 sont interdits d'exécution de leurs scripts :
canalplus.fr
canal-plus.com
media.canal-plus.com
doubleclick.net
fls.doubleclick.net
Pour l'instant ces 5 là sont "non fiables" et "interdit" - par défaut. Ce cas de figure va se présenter très souvent. Qui faut-il autoriser ? Ne vous laissez jamais dominer par votre ordinateur. C'est vous qui naviguez sur le Net, ce n'est pas au Net de vous traîner là où vous ne voulez pas aller ni à faire entrer dans votre maison (dans votre ordinateur et sur son écran) ce que vous ne voulez pas y accueillir.
Dans le cas présent, nous ferons (vous apprendrez très vite à avoir ce genre de réflexes) :
canalplus.fr (mise en liste blanche). C'est le site principal que nous souhaitons visiter - c'est un site institutionnel d'une grande société qui aurait tout à perdre à piéger ses pages donc nous lui faisons confiance.
canal-plus.com (mise en liste blanche). C'est un autre site institutionnel de canal-plus. Compte tenu de la puissance financière de ce groupe on peut être assuré qu'ils n'ont pas laissé un squatter exploiter cet autre nom de domaine qui est sans ambiguïté un de leurs domaines.
media.canal-plus.com (mise en liste blanche). Il s'agit, ici, d'un sous domaine du précédent. Nous avons mis le précédent en liste blanche donc la conséquence est immédiate : le sous-domaine est automatiquement et implicitement en liste blanche.
doubleclick.net (interdit). Nous laissons ce domaine en "interdit". Pourquoi ? Vous ne le savez pas encore mais cela s'apprend, soit en posant des questions à Google , soit en allant sur le domaine doubleclick.net pour voir qui ils sont et ce qu'ils font, soit en testant (en autorisant - pour voir ce qu'il se passe). Dans le cas présent, nous savons que Doubleclick est une régie publicitaire et nous connaissons sont fameux cookie qui donne des boutons aux Internautes. Nous conservons doubleclick.net en "interdit".
fls.doubleclick.net (interdit). Il s'agit, ici, d'un sous domaine du précédent, en conséquence il est donc implicitement interdit.
- Avant :
- Après :
- Autorisations et sous-domaines
N'autorisez pas n'importe quoi !
Nous allons prendre un cas bien connu et que vous avez entre les mains à l'instant : celui de Assiste.com.
L'url complète est http://assiste.com.free.fr
Assiste.com est hébergé sur le domaine Free.fr et c'est donc un sous domaine de Free.fr
Noscript va même voir un sous domaine intermédiaire : com.free.fr
Qu'allez-vous autoriser dans NoScript pour l'exécution des scripts ?
assiste.com.free.fr ou
com.free.fr ou
free.fr ?
C'est assiste.com.free.fr, évidemment, qu'il faut autoriser. Le domaine free.fr héberge plus de 100.000 sites en sous-domaines. Si vous autorisiez free.fr, ce serait, d'un coup, les 100.000 sous-domaines (les 100.000 sites) qui seraient autorisés (et certains ne sont pas beaux du tout).
- Plugins bloqués
Si l'on observe comment s'affiche, à l'écran, la page Canal Plus nous servant d'exemple, on peut y voir le logo de NoScript. Ceci signifie qu'à cet endroit, un plugin est actuellement bloqué. On peut cliquer dessus. Une fenêtre s'ouvre pour nous montrer le script bloqué. Même sans être informaticien, un internaute lambda voit la balise <IFRAME> dont nous avons dit un peu de mal ci-dessus et un lien vers le domaine doubleclick dont nous avons dit encore plus de mal ici et ailleurs. Donc, bien que canalplus.fr soit désormais en liste blanche et que le paramétrage des plugins autorise les plugins pour les domaines en liste blanche, le paramétrage "Avancé - XSS" bloque ce script. Sans aucun remords, nous ne touchons à rien !
Installez l'extension AdBlock Plus pour bloquer les publicités
L'extension AdBlock Plus est entièrement compatible avec NoScript.
Observations
NoScript bloque totalement tout le contenu actif géré par des scripts JavaScript ou par des applets Java sur tous les domaines (sites) de l'Internet.
Il ne l'autorise qu'au coup par coup, dans le cadre d'une liste blanche de domaines que vous avez autorisés, personnellement, en fonction de votre navigation (il n'y a aucune notion de liste blanche publique - vous n'avez qu'une liste blanche, la votre).
L'autorisation peut être temporaire (juste pour la session en cours et au prochain re-démarrage l'autorisation sera tombée et le site sera de nouveau considéré "Non fiable") ou définitive (le nom de domaine est alors introduit dans votre liste blanche).
NoScript permet donc de se prémunir totalement contre tous les scripts hostiles et des exploitations des failles de sécurité des langages de contenus actifs (Java...). Les attaques de type Drive-by download, par exemple, sont bloquées.
Attention
NoScript ne fonctionne qu'en tant qu'extension de Firefox, Mozilla Suite et SeaMonkey. NoScript ne protège absolument pas votre navigation sous Internet Explorer (le générateur de failles en flux continu). NoScript n'a aucune action contre la technologie ActiveX et son cortège d'hostilités.
Attention à ce que vous autorisez :
Avec NoScript, la première fois que vous allez sur un domaine (sur un site), tous les scripts de ce site sont bloqués. Si les pages de ce site contiennent un piège, celui-ci est bloqué aussi. Observez le site et, à son apparence, son contenu, ses liens etc. ... faites-vous une opinion sur celui qui est derrière ce site (si vous êtes un internaute débutant, vous vous apercevrez que l'on apprend vite, mais à ses dépens, à se faire une opinion sur ce qui est derrière les apparences. Si vous êtes un internaute chevronné maîtrisant HTML et JavaScript, affichez le code source de la page). Il peut être nécessaire d'autoriser JavaScript pour ce site de manière à accéder aux menus de navigation dans le site mais, à ce moment là, ce sont tous les scripts de ce site qui vont être autorisés, y compris un script hostile s'il y en a un. Soyez prudent et ne perdez jamais votre esprit critique.
L'intérêt de NoScript est donc de protéger contre le lancement automatique d'un JavaScript hostile lorsque l'on entre sur une page Web inconnue - mais comme généralement cette page utilise aussi du JavaScript pour son simple fonctionnement normal (clic sur un lien, navigation dans le site etc. ...), le risque qu'un piège se referme doit être mesuré à l'aune de ce que vous avez entre les oreilles. Aucune protection au monde ne protège du mode j'men foutiste !
Conclusion
Installez NoScript (et naviguez avec FireFox, bien sûr)
|
|
 |
|
