NoScript: chassez ce script que je ne saurais voir

  de

noscript

Vous avez certainement déjà croisé ce nom quelque part: javascript. C’est moche, ça fait peur, et ça peut mordre en plus (tout comme le logo de NoSript quoi). Pourtant, javascript, c’est un machin qui a participé à révolutionner le web, et facilité le passage dans le fameux 2.0, le web collaboratif. Grâce à lui, il a été possible de dynamiser les pages, de modifier une partie de celles-ci sans les recharger entièrement; et ça ça veut dire possibilité de commenter directement, d’intégrer des contenus extérieurs, de tweeter grâce au joli bouton tout bleu etc. etc.

Mais javascript, c’est aussi potentiellement votre pire ennemi si vous souhaitez surfer discrètement, car s’il garantit fonctionnalités et design modernes, il peut tout aussi bien servir aux indiscrets de tous bords.

Back to the Future?

Ça faisait un bail que je voulais parler de cette superbe extension libre pour Firefox qu’est NoScript, mais il faut dire que la flemme aura toujours eu le dessus. Aussi connue soit-elle, je ne pouvais faire l’impasse sur le sujet.

Son principe est simple: bloquer tous les scripts par défaut, et vous laisser le loisir de décider quelles sont les pages que vous jugez dignes de confiance. Il est également possible de définir une liste noire, c’est à dire d’interdire des scritps (Google Analytics, au hasard), même si l’on décide d’autoriser une page temporairement pour pouvoir profiter davantage de ses fonctionnalités. [NDA: édit]

Je ne vous cacherai pas que la prise en main et la configuration ne sont pas des plus rapides. En effet, il va falloir pour chaque site, faire le tri entre le grain et l’ivraie, entre les scripts légitimes et ceux qui servent à vous traquer par exemple, à l’image de celui qui correspond à Google Analytics. Vous l’aurez compris, NoScript fait aussi un peu le boulot d’un Ghostery ou d’un Disconnect.

Autre point, soyez conscient que l’affichage des sites risque d’être « quelque peu » altéré… Non vous n’êtes pas retourné en 1995! Il reste simplement un ou deux petits réglages à faire pour redonner à votre site préféré son petit côté bling bling, mais n’ayez crainte, vous n’allez pas vous transformer pour autant en affreux geek-barbu-pro-sites-moches adepte de la navigation sur le web dans un terminal (enfin ça viendra, mais pas tout de suite 😉 ).

w3m

La page Google affichée dans un terminal par w3m (sous linux)

Mais à quoi bon?

S’il s’agit d’une tâche fastidieuse que d’apprivoiser la bête lorsqu’on découvre le principe de la liste noire, on y trouve en retour largement son compte. Premièrement, constater le nombre de scripts et leurs utilités est le premier apport. Comme pour Ghostery ou disconnect, les curieux pourront affiner leur connaissance du web, et comprendre un peu mieux comment tout cela fonctionne. Vous apprendrez si vous ne le savez pas encore que sur une page, de nombreux tiers peuvent intervenir, et donc récolter des informations sur vous.
Cerise sur le gâteau: il n’est pas impossible que vous gagniez en temps de chargement des pages.

Ensuite, comme précisé ci-dessus, cela vous débarrassera d’un certain nombre de trackers publicitaires, de pop-up envahissantes et autres désagréments de l’Internet moderne.

Sont également concernés, les contenus Flash, Silverlight, Java etc. qui peuvent poser de gros problèmes de sécurité (ils permettent à un pirate d’effectuer des attaques), et « d’anonymat » (voir l’article sur Flash Player). Les vidéos ne s’afficheront donc pas à moins que vous ne le décidiez.

Cette extension est pleine de ressource et vous aussi protégera contre plusieurs autres menaces dont le XSS (cross-site scripting), ou le clickjacking.

Pour vous faire une idée de l’utilité du machin, faîtes un tour sur quelques sites après avoir installé Ligthbeam (ex Collusion), puis avec NoScript…

Enfin, quelques conseils en terme de paramétrage:

  • Activez l’extension et bloquez tous les scripts (et oui, c’est con mais il ne faut pas oublier).
  • Pour limiter le temps d’affichage des pop-up signalant la présence de scripts: Options > Notifications, et faîtes « cacher après 1 seconde ».
  • Dans Options > Apparence, n’autorisez que les adresse complètes histoire de garder un maximum de contrôle, et de ne pas se fier à un nom de domaine entier.
  • Pour accéder au menu contextuel de l’extension au clavier: Ctrl+Shift+S.

Allez, amusez-vous bien, il reste encore de nombreuses chose à découvrir sur cette extension, et ne vous découragez pas pour la prise en main, cette addon vaut vraiment le coup!

Pour creuser un peu plus sur le sujet:

https://securityinabox.org/fr/firefox_noscript

http://assiste.com/NoScript.html

Pioche un article au hasard!

Ou sur une thématique proche

Taggé  , , , , , , , , , , , , , , , , , .
Lien pour marque-pages : Permaliens.

2 Commentaires

  1. Cyoouz
    03/06/2014 à 11 h 03 min

    Salut !

    Je pense que tu te trompes sur le principe des listes noires et blanches. Une liste noire contient des éléments interdits. Une liste blanche contient des éléments autorisés. Le principe de la liste noire et donc de bloquer les éléments de la liste, et d’autoriser les autres. Le principe de la liste blanche et de n’autoriser que les éléments présents sur la liste, et bloquer tous les autres.

    Répondre
    • revoltenum
      03/06/2014 à 19 h 59 min

      Salut,

      Merci pour le commentaire et mea culpa, la publication à 2-3h du mat’ n’aide pas à garder l’esprit clair!
      Effectivement, par défaut tout est bloqué, mais on peut tout de même par dessus utiliser le principe de la liste noire, en interdisant « définitivement » des scripts, et ce même si on autorise toute la page temporairement…
      Je modifie ça en tout cas…

      Répondre

Répondre à revoltenum Annuler la réponse.

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ATTENTION: merci de répondre à cette question pour lutter contre le spam: * Time limit is exhausted. Please reload CAPTCHA.