[-Fx-] NoScript 造成的安全性漏洞
不久前 Adblock Plus 的作者在他的部落格上,寫了一篇文章:
http://adblockplus.org/blog/attention-noscript-users
落落長的英文,重點摘要如下:
- NoScript 很邪惡,為了賺廣告錢不擇手段
稍微長一點的要點翻譯整理:
- NoScript 為了賺錢,強迫大家每一次更新都會跑去看他那滿滿廣告的
changelist 網頁
- NoScript FAQ 宣稱只有「重大版本更新」的時候才會這樣,但是
實際上是每次更新都會
- 通常 NoScript 擋掉網頁上的 JavaScript 的時候,就會擋掉一些廣告;
但是 NoScript 的預設白名單當中包含了 NoScript 網頁的網域
- 有心人士將可以利用 NoScript 的網頁來執行 XSS
- 兩週前 Adblock Plus 的 EasyList 開始會擋 NoScript 網頁上的廣告
- 為了廣告,NoScript 並且與 Adblock Plus「不相容」
- NoScript 網頁開始用各種手段來避開 EasyList,EasyList 則不斷修改;
到了一週前,新版 NoScript 擴充套件加入了一些針對 Adblock Plus 的
惡意程式碼,用來停用 Adblock Plus 的部份功能,結果就是,
在許多網域 (尤其是 NoScript 網頁的網域,但不限於) 顯示會亂掉
- 由於有 Mozilla 的附加元件政策,因此 NoScript 的作者同意拿掉前述
那個針對 Adblock Plus 所加入的惡意程式碼;但是在昨天所釋出的新版
NoScript 當中,會主動把一份「過濾條件清單」加到 Adblock Plus,
其中把 NoScirpt 網站的相關網域列入白名單
- NoScript 網站上宣稱這是「因為 EasyList 意圖攻擊 (NoScript) 開發者
的網站,使得許多功能爛掉,所以我們加入了這份白名單」
- 實際上 EasyList 就只是在擋廣告而已。NoScript 網頁意圖
規避 EasyList 才是造成所謂「不相容」的主因
- 這份 NoScript 加入的白名單不會事先取得使用者同意,就逕行加入;
而且加入後無法移除(移除的話下次開啟 Firefox 時會自己加回來),
只能停用。就算反安裝 NoScript 後,那個白名單也還是在。
註:
現在的 NoScript 網頁上說,NoScript 1.9.2.6 會不經詢問自動移除
前述的白名單....
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.229.155.22
→
05/02 14:33, , 1F
05/02 14:33, 1F
推
05/02 14:38, , 2F
05/02 14:38, 2F
推
05/02 14:48, , 3F
05/02 14:48, 3F
→
05/02 14:56, , 4F
05/02 14:56, 4F
推
05/02 15:52, , 5F
05/02 15:52, 5F
推
05/02 15:58, , 6F
05/02 15:58, 6F
推
05/02 16:23, , 7F
05/02 16:23, 7F
→
05/02 16:24, , 8F
05/02 16:24, 8F
推
05/02 17:04, , 9F
05/02 17:04, 9F
→
05/02 17:05, , 10F
05/02 17:05, 10F
推
05/02 17:33, , 11F
05/02 17:33, 11F
推
05/02 17:37, , 12F
05/02 17:37, 12F
→
05/02 17:47, , 13F
05/02 17:47, 13F
推
05/02 18:11, , 14F
05/02 18:11, 14F
推
05/02 18:15, , 15F
05/02 18:15, 15F
推
05/02 18:44, , 16F
05/02 18:44, 16F
推
05/02 20:05, , 17F
05/02 20:05, 17F
推
05/02 20:29, , 18F
05/02 20:29, 18F
→
05/02 20:29, , 19F
05/02 20:29, 19F
推
05/02 21:11, , 20F
05/02 21:11, 20F
→
05/02 22:48, , 21F
05/02 22:48, 21F
→
05/02 22:48, , 22F
05/02 22:48, 22F
→
05/02 22:48, , 23F
05/02 22:48, 23F
→
05/02 22:54, , 24F
05/02 22:54, 24F
→
05/02 22:54, , 25F
05/02 22:54, 25F
推
05/03 10:20, , 26F
05/03 10:20, 26F
→
05/03 10:35, , 27F
05/03 10:35, 27F
→
05/03 10:36, , 28F
05/03 10:36, 28F
→
05/03 10:41, , 29F
05/03 10:41, 29F
推
05/03 11:50, , 30F
05/03 11:50, 30F
→
05/03 12:39, , 31F
05/03 12:39, 31F
→
05/03 12:40, , 32F
05/03 12:40, 32F
→
05/03 12:40, , 33F
05/03 12:40, 33F
推
05/03 13:05, , 34F
05/03 13:05, 34F
→
05/03 13:05, , 35F
05/03 13:05, 35F
→
05/03 13:08, , 36F
05/03 13:08, 36F
推
05/03 13:37, , 37F
05/03 13:37, 37F
→
05/03 13:38, , 38F
05/03 13:38, 38F
推
05/03 13:55, , 39F
05/03 13:55, 39F
→
05/03 13:56, , 40F
05/03 13:56, 40F
推
05/03 16:13, , 41F
05/03 16:13, 41F
推
05/03 16:46, , 42F
05/03 16:46, 42F
→
05/03 16:47, , 43F
05/03 16:47, 43F
→
05/03 16:49, , 44F
05/03 16:49, 44F
→
05/03 16:51, , 45F
05/03 16:51, 45F
→
05/03 16:53, , 46F
05/03 16:53, 46F
→
05/03 16:56, , 47F
05/03 16:56, 47F
→
05/03 16:58, , 48F
05/03 16:58, 48F
→
05/03 17:29, , 49F
05/03 17:29, 49F
→
05/03 17:34, , 50F
05/03 17:34, 50F
→
05/05 19:08, , 51F
05/05 19:08, 51F
討論串 (同標題文章)
以下文章回應了本文:
完整討論串 (本文為第 1 之 2 篇):