Ричард Столлман, глава FSF, ищет кого-нибудь, кто бы доработал свободное дополнение для браузеров на основе Firefox — NoScript — так, чтобы оно могло обнаруживать и блокировать несвободные нетривиальные программы на языке JavaScript.

По определению из статьи “Западня JavaScript”, программа на JavaScript нетривиальна, “если она делает запросы AJAX, а также если она определяет методы и либо загружает внешние программы, либо сама загружается как внешняя программа”.

В статье также предлагаются методы, которыми свободные программы могут оповещать о своих лицензиях.

Заинтересованным сторонам рекомендуется записать свои реквизиты на странице “Свободной планеты”, посвящённой этой задаче и связаться с Ричардом Столлманом.

>>> Подробнее

Основные изменения по сравнению NoScript 1.0:

• Добавлена поддержка Fennec
• Улучшена защита от XSS-атак
• Улучшено принудительное использование HTTPS
• Добавлены кнопки «Import» и «Export» в диалоговом окне параметров
• Добавлена экспериментальная поддержка внешних фильтров (требуется Firefox 3.5 или старше)
• Добавлен редактор правил ABE

>>> Подробности

Основные изменения:

• Изменён внешний вид вкладки «плагины»
• Добавлена возможность блокировки <VIDEO> / <AUDIO>
• Добавлена возможность блокировки типа «@font-face»
• Обновлена функция ClearClick

NoScript — это популярное расширение Firefox, блокирующее исполнение JavaScript, апплетов Java, Flash и и других потенциально опасных компонент HTML-страниц до тех пор, пока пользователь не разрешит их исполнение на данном узле или глобально. Также NoScript позволяет пользователям вести белые списки сайтов, которым разрешено использовать данную возможность. Управление плагинами возможно независимо от сценариев.

Ещё одной возможностью NoScript является защита пользователя от XSS-атак с возможностью формирования отдельных списков серверов, для которых необходима схожая с XSS-атакой функциональность.

>>> Подробности

Автор Firefox расширения NoScript недавно предпринял достаточно сомнительные шаги в сторону насильственного отключения функциональности другого расширения - Adblock Plus, призванного убирать рекламу на всех без исключения сайтах. Авторам NoScript не понравилось, что в числе заблокированного контента оказалась контекстная реклама Google AdSense, являющаяся главным источником дохода разработчиков NoScript. Как развивались события рассказал в своем блоге автор Adblock Plus Владимир Палант. Ниже краткий пересказ сути конфликта.

Несколько лет разработчики NoScript пользовались ошибкой в коде Adblock Plus, позволявшей отключать его работу для некоторых доменов. Но несколько недель назад данная ошибка была устранена, что и привело к конфликту, в результате которого в очередной версии NoScript, под предлогом решения проблем с совместимостью двух расширений, появился код специально нацеленный на блокирования работы некоторых частей Adblock Plus.

После направления уведомления о нарушении соглашения о разработке расширений для продуктов Mozilla, авторы NoScript пошли на уступку и убрали внесенные изменения, но выпустили несколько дней назад новую версию NoScript, в которой сделан новый шаг - появилась включенная по умолчанию опция фильтрации черных списков Adblock Plus, позволяющая исключать из них определенный набор доменов.

Дополнение: под давлением общественности, разработчики NoScript выпустили новую версию своего расширения, в котором были убраны средства для фильтрации черных списков Adblock Plus.

Взято с opennet.ru

>>> Подробности

Среди специалистов по веб-безопасности растёт озабоченность достаточно старым, но эффективным приёмом киберпреступников — «кражей кликов» (clickjacking), подменой одной ссылки на другую. Попытки использовать его отмечены (но предотвращены) сайтом PayPal.

В новые версии NoScript, начиная в 1.8.2, включена функция ClearClick, предупреждающая пользователя при попытке нажать на ссылку, которую перекрывает какой-либо прозрачный элемент. По умолчанию ClearClick работает только для сайтов, не включённых в белый список. Рекомендуется обновиться.

Cтатья о clickjacking на сайте computerworld.com.au

Статья о clickjacking на сайте hackademix.net

Анонс NoScript

К сожалению, Flash и Silverlight к краже кликов остаются уязвимы. Flash обещают скоро починить.

>>> Сайт NoScript