Второй год подряд победителем The Reader`s Choice Awards на популярном американском ресурсе About.com в категории «Лучшее дополнение в области безопасности/конфиденциальности» становится NoScript – бесплатное свободно распространяемое расширение популярного браузера FireFox, блокирующее исполнение JavaScript-кода, Java-апплетов, Flash-баннеров и других потенциально опасных компонентов HTML-страниц, а также реализующее ряд других технологий по увеличению безопасности навигации в сети. Еще одним доказательством признания заслуг команды разработчиков во главе с итальянским программистом, членом Mozilla Security Group, Джоржио Маоне (Giorgio Maone) стало присуждение NoScript летом этого года премии DRG Security Innovation Grant.

NoScript
NoScript дает установившему его пользователю возможность контролировать исполнение различных плагинов, а именно самостоятельно устанавливать домены и сайты, для которых разрешены JavaScript-код и Java-апплеты, например, это может быть банковский сервис или платежная система. Дополнение, основанное на принципе упреждающего блокирования, позволяет предотвратить использование уязвимостей без потери функциональности. По мнению экспертов, браузер Firefox действительно безопасней с NoScript, до тех пор пока пользователь не разрешит исполнение потенциально опасных компонентов на данном узле.

Еще одной возможностью расширения популярного браузера FireFox является защита пользователя от XSS атак и кликджекинга. При этом имеется возможность формирования отдельных «белых» списков серверов, для которых необходима схожая с XSS атакой функциональность.
Впервые установленный на компьютер пользователя NoScript содержит «белый» список по умолчанию, в который помимо внутренних адресов, нужных для работы браузера, включены некоторые сайты авторов расширения: Google, Microsoft, Yahoo!, а также AJAX сервисы. Этот список в любой момент может быть отредактирован пользователем средствами самого расширения.
Пользователь имеет возможность пойти и от обратного, воспользовавшись функцией «черного» списка, т.е. разрешить исполнение скриптов к глобальном масштабе, запретив их на отдельных ресурсах, которым он не доверяет.

По состоянию на ноябрь 2011 г. NoScript занимает 8-е место в рейтинге наиболее популярных дополнений FireFox.

NoScript Anywhere
Средства гранта позволили команде разработчиков не только более интенсивно подойти к развитию стандартного NoScript для рабочих станций, но и сосредоточить свои усилия на подготовке и запуске NoScript Anywhere или NoScript 3 – решения для смартфонов и планшетов на базе платформ Android и Maemo – alpha-версия которого уже сейчас доступна для скачивания и установки на официальном сайте NoScript: noscript.net/nsa/, а также на Firefox Mobile.

Решение для портативных устройств содержит уже знакомый пользователям набор функций: систему управления разрешениями на исполнение активного содержимого веб-страниц; защиту от XSS атак и кликджекинга; встроенный в мобильный браузер файервол.

NoScript Anywhere представляет собой не требующее перезагрузки дополнение для FireFox Mobile. Специально для смартфонов изменен интерфейс управления блокированием активных элементов веб-страниц. «Белый» список NoScript Anywhere реализован в виде JSON-массива, в котором домены и компоненты URL-адреса страниц являются ключами, а пользовательские настройки разрешений для них – их значениями (значение 0 соответствует ненадежным адресам, 1 - сайтам, которым пользователь доверяет).

Мелкоуровневое управление разрешениями в NoScript Anywhere позволяет более гибко осуществлять пользовательские настройки, чем это реализовано в стандартной версии продукта. Также благодаря поддержке синхронизации через Firefox Sync NoScript Anywhere имеет единую базу настроек и правил для мобильных устройств и рабочих компьютеров.
При первом запуске пользователю предлагаются на выбор несколько вариантов предварительных настроек разрешений, которые могут быть включены и позднее в любой момент по желанию пользователя.

Работы над продуктом еще продолжаются, и на сайте разработчика можно ознакомиться с основными этапами создания NoScript Anywhere и сроками их исполнения, например, в середине октября этого года завершены работы по реализации функции Application Boundaries Enforcer, которая по умолчанию содержит настройки для защиты от подмены IP-адресов на уровне DNS.

Тип ПО: Расширение (Mozilla)
Разработчик: Джоржио Маоне (Giorgio Maone)
Операционные системы: Microsoft Windows, GNU/Linux и Mac OS X
Последняя версия: 2.1.4 (28 сентября 2011)
Лицензия: GNU GPL
Локализация: 45 языков
Веб-сайт: noscript.net

Dragon Research Group (DRG) – некоммерческая волонтерская географически распределенная исследовательская организация, объединяющая разработчиков и аналитиков, специализирующихся на вопросах изучения и поиска путей противодействия онлайновой преступности. Цель организации – сделать Интернет более безопасным для рядовых пользователей. Организация основана и финансово поддерживается американской исследовательской группой Team Cymru, занимающейся вопросами интернет-безопасности. Team Cymru выступает координатором отбора добровольцев, желающих присоединиться к Dragon Research Group. Одно из начинаний организации – вручение премии Security Innovation Grant за лучший инновационный проект года в области информационной безопасности. Размер премии составляет 10 000 долларов. Отборочную комиссию составляют сотрудники Team Cymru, члены Dragon Research Group, независимые консультанты, а также представители крупнейших компаний отрасли, в том числе Google, Nortel, Arbor Networks.

About.com – основанный в 1996 г. англоязычный ресурс, представляет собой источник советов и информации для потребителей. Проект поддерживается сообществом гидов (Guide), специализирующихся на различных предметных областях авторов, получающих за свою работу стипендию с надбавками в зависимости от трафика. С 2005 г. проект принадлежит «The New York Times Company» и на текущий момент занимает 66 место в общем рейтинге онлайновых ресурсов Alexa и 33 место – внутри США.

XSS атака (Сross Site Sсriрting) – тип уязвимости интерактивных информационных систем в вебе, возникающих, когда в генерируемые сервером страницы попадают пользовательские скрипты. Их специфика состоит в том, что атака на объект осуществляется не напрямую, а через уязвимый сервер.

Кликджекинг (clickjacking) – мошеннический механизм, при котором злоумышленник получает доступ к конфиденциальной информации или даже к компьютеру пользователя, завлекая его на внешне безобидную страницу. Технология заключается в том, что поверх видимой страницы располагается невидимый слой, в котором находится совмещенный с видимой ссылкой или кнопкой скрытый элемент управления.