Bộ bảo mật Noscript (NSS) là một công cụ tuyệt vời, tuyệt vời. Nó xuất hiện dưới dạng một tiện ích mở rộng cho Firefox và nhiều trình duyệt dựa trên Chromium khác nhau, và những gì nó làm là biến cái gọi là Internet "hiện đại" ồn ào, vô dụng thành một vùng yên tĩnh. Và nó làm như vậy bằng cách chặn các tập lệnh và các yếu tố khác trên các trang Web. Đẹp, thanh lịch. Bạn kết thúc với một trải nghiệm nhanh chóng, yên tĩnh. Không cằn nhằn, không có chi phí. Khi bạn cần kịch bản, bạn kích hoạt nó một cách có chọn lọc. Hoạt động tuyệt vời, nhưng chỉ khi bạn là dân công nghệ.
Thật không may, đối với những người bình thường AKA không phải là mọt sách, đây không phải là một giải pháp. Họ không thể bận tâm với các quyền trên mỗi trang web, tìm hiểu xem có gì đó bị hỏng khi tập lệnh không chạy hoặc tương tự. Nhưng sau đó, nếu bạn muốn có tất cả tính linh hoạt của trình duyệt không bị hạn chế nhưng vẫn sử dụng một số quyền hạn tuyệt vời của Noscript thì sao? Vâng, tôi nghĩ rằng tôi có thể có công thức. Đi theo tôi.
Cho phép tất cả trừ
Thông thường, Noscript là một công cụ từ chối mặc định. Bạn chỉ đưa vào danh sách trắng các miền cụ thể mà bạn tin tưởng - và thậm chí sau đó, bạn có thể tạm thời thực hiện việc này mỗi phiên. Tuyệt vời, nhưng bạn cần sự nghiêm khắc và kỷ luật. Cho phép mặc định cũng không phải là giải pháp phù hợp, bởi vì sau đó, bạn không thực sự cần Noscript. Nhưng đây là nơi tiện ích mở rộng này tỏa sáng.
Mặc định với tập lệnh
Như tôi đã phác thảo trong hai hướng dẫn của mình về Noscript, có ba cấp độ quyền - mặc định, đáng tin cậy và không đáng tin cậy. Cái đầu tiên chặn các tập lệnh nhưng cho phép một số thành phần Web khác (như hình ảnh, phương tiện, v.v.). Đáng tin cậy bắt buộc viết kịch bản và (tùy chọn) cho phép mọi thứ khác. Không đáng tin cậy chặn mọi thứ. Đáng tin cậy + Không đáng tin cậy hoạt động tốt với nhau - ngay cả khi bạn tạm thời cho phép tất cả (tin cậy) trên một trang, các miền không đáng tin cậy sẽ vẫn bị chặn. Vì vậy, bạn nhận được một số bảo vệ và thuận tiện. Chúng ta có thể điều chỉnh nguyên tắc này cho những người bình thường!
Đặt vùng mặc định để cho phép một số thành phần phổ biến, cần thiết cho trình duyệt hàng ngày. Thông thường, điều này bao gồm tập lệnh, đối tượng, phương tiện và khung. Các yếu tố khác là tùy chọn, thực sự. Tóm lại, cách sử dụng tóm lại như sau:
- WebGL - Nếu bạn không muốn cho phép WebGL thì bạn sẽ không có đồ họa 2D/3D được tăng tốc phần cứng trong trình duyệt của mình và bạn sẽ chỉ dựa vào kết xuất phần mềm. Nhược điểm là giảm thời lượng pin trên các thiết bị chạy bằng pin và hiển thị trang hơi chậm hơn trong một số trường hợp. Ưu điểm là bạn sẽ không gặp phải bất kỳ lỗi hoặc sự cố nào trong ngăn xếp đồ họa phần cứng. Trong hầu hết các trường hợp, sử dụng WebGL là được.
- Phông chữ - Đây là một phông chữ hấp dẫn và tôi đã nói về nó rất lâu trong quá khứ. Các phông chữ từ xa có thể gây ra sự cố và chúng cũng là một nguồn kịch tính bảo mật tuyệt vời trên mạng. Tôi không thích phông chữ từ xa vì nhiều lý do, bởi vì các trang web phải là giải pháp hoàn chỉnh và việc tải nội dung ngẫu nhiên từ các nguồn của bên thứ ba chỉ là lười biếng. Ngoài ra còn có các hàm ý về bảo mật và quyền riêng tư, nhưng - một lần nữa - Noscript cung cấp một giải pháp tuyệt vời. Chặn phông chữ có thể làm cho các trang trở nên "xấu xí" hơn, nhưng sau đó, bạn cũng có thể thấy Internet hiện đại thực sự mong manh và được thiết kế tồi tệ như thế nào. Vậy đó.
- Tìm nạp - Về cơ bản, điều này được sử dụng để xử lý các yêu cầu. Bạn nên cho phép điều đó để đảm bảo các trang web phản hồi "chính xác", bao gồm mọi chuyển hướng, lỗi, v.v.
- Ping - Đây là thứ không có giá trị đối với người dùng cuối, chỉ có máy chủ. Thuộc tính ping chỉ định danh sách các URL sẽ được thông báo nếu người dùng theo một siêu liên kết. Nói cách khác, theo từ "hiện đại", đây có thể là một vectơ khác để theo dõi vô dụng, vô nghĩa. Vì vậy, bạn không cần phải kích hoạt nó.
- Noscript - Khi các tập lệnh bị vô hiệu hóa, nội dung được bao bọc trong các phần tử noscript trong nguồn trang HTML khi đó sẽ được hiển thị. Vì chúng tôi muốn cho phép các tập lệnh nên điều này không thực sự quan trọng. Tuy nhiên, việc cho phép nó cũng không hại gì.
- Khác - Mọi thứ khác mà các trang có thể chứa. Tại sao không. Được thôi.
Với cấu hình này, mọi người có thể duyệt các trang web mà dường như không bị gián đoạn. Mọi thứ sẽ hoạt động theo mặc định và bạn sẽ không gặp phải bất kỳ sự cố cơ bản nào. Nhưng sau đó, vẫn còn một vài điều nữa chúng ta có thể làm - và Noscript có thể làm cho chúng ta.
XSS và Miền không đáng tin cậy
Một ưu điểm thú vị khác của Noscript là nó bảo vệ chống lại các cuộc tấn công kịch bản chéo trang. Giải thích kỹ thuật cho những thứ này hơi dài dòng, nhưng về bản chất, ngay cả khi bạn cho phép các tập lệnh (lý do chính tại sao một người nên sử dụng Noscript), bạn vẫn được hưởng lợi từ các khả năng khác của nó. Vì vậy, bạn được bảo hiểm ở đó.
Sau đó, nếu bạn không tin tưởng vào một số miền nhất định, trong khi vùng mặc định của bạn sẽ khá tự do và cởi mở, bạn vẫn có thể thoát khỏi các trang web gây phiền nhiễu, đặc biệt khi đây là những miền của bên thứ ba chỉ được sử dụng để quảng cáo hoặc theo dõi. Trên bất kỳ trang web nào, bạn có thể mở rộng menu biểu tượng Noscript, sau đó đặt các quyền có liên quan cho từng miền. Bạn cũng có thể sử dụng tùy chọn Tùy chỉnh.
Chẳng hạn, bạn có thể muốn chặn tất cả các phông chữ, nhưng chỉ cho phép chúng trên một nhóm trang cụ thể. Đồng thời, bạn có thể muốn xóa các miền cụ thể để hoạt động Web của bạn không thể dễ dàng theo dõi và liên kết trên nhiều miền. Các trình duyệt đang cố gắng giải quyết vấn đề này bằng tính năng bảo vệ duyệt web nâng cao/nghiêm ngặt, giảm hoặc xóa cookie của bên thứ ba, v.v., nhưng bạn có thể sử dụng Noscript để làm cho giải pháp trở nên mạnh mẽ hơn. Bạn cũng có thể kết hợp việc sử dụng tiện ích mở rộng này với tính năng chặn quảng cáo, vì vậy ngay cả khi bạn bỏ lỡ hoặc quên một số miền nhất định trong danh sách của mình, tiện ích mở rộng chặn quảng cáo sẽ dọn dẹp các trang Web cho bạn khi tập lệnh của chúng tải.
Nó có hoạt động không?
Vâng, khá tốt. Tôi đã sử dụng Noscript và uBlock Origin song song với nhau trong một thời gian dài. Trên thực tế, tôi đã thử nghiệm tất cả các hoán vị khác nhau - không có gì, cái này hay cái kia, song song, các cài đặt trình duyệt khác nhau. Hóa ra không có gì đáng ngạc nhiên, sự kết hợp tối ưu nhất là Noscript + UBO, vì cái sau cũng có khả năng chặn và khử trùng tất cả các loại tính năng gây phiền nhiễu trên các trang Web. Điều đáng chú ý duy nhất - phông chữ của bên thứ ba không được tải. Tốt.
Khi tập lệnh bị tắt, bạn sẽ không thấy hộp tìm kiếm hoặc lớp phủ cookie - nhưng chúng sẽ hiển thị ở đây.
Tuy nhiên, bạn luôn có thể thay đổi trạng thái của miền và tải lại trang. Và bạn cũng có thể định cấu hình Vùng tùy chỉnh - tắt phông chữ cho phần lớn các trang, nhưng cho phép chúng ở một số miền nhỏ, được chọn mà bạn thích VÀ không thuộc Vùng tin cậy của bạn. Bằng cách này, bạn không phải thỏa hiệp với các cài đặt và biện pháp bảo vệ khác chỉ để cho phép một thành phần cho các trang cụ thể.
Nếu bạn làm điều này, bạn cũng sẽ khám phá ra một số điều thú vị khác như:
- Bạn sẽ thấy các trang web tải bao nhiêu nội dung vô ích bên cạnh nội dung "cốt lõi" của chúng.
- Bạn sẽ thấy có bao nhiêu trang web trông giống như bãi nôn của chó nếu bạn vô hiệu hóa một số nội dung của bên thứ ba (chẳng hạn như phông chữ) của chúng.
- Bạn cũng sẽ nhận thấy tốc độ tăng lên - ngay cả khi đã bật tập lệnh - vì nhiều nội dung vô ích sẽ không tải được.
Kết hợp với chặn quảng cáo, bạn sẽ tiết kiệm băng thông, giảm tiếng ồn và cải thiện hiệu suất duyệt web của mình. Giành chiến thắng giành chiến thắng!
Kết luận
Vậy làm thế nào để bạn thiết lập Noscript cho những người bình thường? Chà, bạn tạo phiên bản của riêng mình, tinh chỉnh nó - rồi xuất cài đặt. Khi bạn giúp người khác định cấu hình trình duyệt của họ, thì bạn có thể nhập cài đặt. Ý tưởng cơ bản là cho phép các tập lệnh và một số thành phần khác trong Vùng mặc định, giúp giải quyết 99% mọi vấn đề với Noscript + phi công nghệ. Bạn có thể tùy chọn làm cho thiết lập đẹp hơn nữa bằng cách tạo danh sách đáng tin cậy, không đáng tin cậy và tùy chỉnh của riêng mình.
Đây có phải là hoàn hảo không? Dĩ nhiên là không. No technology is. In between the broken-and-confusing Web experience that Noscript purposefully creates as part of its cleansing mission, and veteran nerds who know exactly what they're doing, it's still possible to make this extension useful for the common users. My testing is limited, but I believe the configuration I outlined above works well, provides extra security, improves privacy, and does not break the surfing. Have a go, throw this at your unsuspecting relatives, and share your findings. We're done.
Chúc mừng.