皆さんが待ち望んでいたFirefox NoScriptガイド

更新 :新しい Firefox 57以降のNoScriptガイド



デスクトップPCでFirefox Webブラウザーを使用していて、別のブラウザーを使用していない主な理由の1つは、NoScript拡張機能がそのブラウザーでしか使用できないことです。

NoScript 名前が示すとおり、ほとんどすべてのWebサイトでスクリプトが自動的に実行されるのをブロックします。ほとんどの攻撃がWebサイトで実行されるため、スクリプトが効果的である必要があるため、これによりセキュリティが大幅に向上します。また、NoScriptが有効になっているときにロードする必要のあるコンテンツが少なくなるため、平均でページのロード時間が改善されます。

ここでの欠点は、サイトの機能が一部のサイトでは正しく機能しない可能性があることです。スクリプトはデフォルトでブロックされているため、サイトがまったく機能しないか、NoScriptがインストールされていると部分的にしか機能しない可能性があります。



ただし、拡張機能には、これらの問題を解決するためのコントロールが用意されています。これにより、サイトでスクリプトを一時的または永続的に実行できます。

別の問題は、スクリプトがドメインレベルでブロックされていることです。ほとんどのWebサイトは、さまざまなソースからスクリプトを読み込みます。最初は独自のドメインからですが、サードパーティのサーバーからも、たとえば広告を表示したり、トラッキングスクリプトを使用したり、ホストされているバージョンのjqueryを利用したりします。

多くの場合、サイトのコア機能に必要なスクリプトと不要なスクリプトを区別することは困難です。これは、ドメイン、ウェブサイトテクノロジー、スクリプトに関してほとんど経験がないインターネットユーザーに特に当てはまります。



NoScript構成

すぐに使えるNoScriptは非常に優れています。変更せずに使用できますが、アドオンを最大限に活用したい場合は、オプションを少なくとも1回実行して、すべてが最適な方法で構成されていることを確認することができます。

前述したように、NoScriptはデフォルトでほとんどのWebサイトのスクリプトをブロックします。拡張機能にはドメインホワイトリストが付属しています。つまり、ここにあるサイトは、独自のドメインでホストするスクリプトを実行できます。



サイドチップ :NoScriptは、ルートドメインとサブドメインを区別します。 addons.mozilla.orgやmozilla.orgのようなドメインは、拡張機能によって異なるドメインとして扱われます。

ホワイトリストに登録されているドメインのリストには、addons.mozilla.org、google.com、googleapis.com、live.com、hotmail.com、outlook.com、またはpaypal.comがあります。



[NoScript]オプションの[ホワイトリスト]でホワイトリストに登録されたサイトを削除できます。

noscript whitelist

ここにリストしたくないドメインを削除することをお勧めします。 Firefoxの内部ページはリストに残しておくことをお勧めします。そうしないと問題が発生します。

ここでは、選択項目をインポートまたはエクスポートすることもできます。これは、複数のデバイスでFirefoxを使用していて、同じホワイトリストを使用したい場合に役立ちます。

2番目に行う可能性のある構成変更は、NoScriptアイコンに関係します。簡単にアクセスできる場所に配置することをお勧めします。

私はアドオンバーに配置しましたが、Firefox Australis(バージョン29がターゲット)でバーを削除したので、ブラウザーのメインツールバーに配置することもできます。

もう1つのオプションは、代わりにコンテキストメニューを使用することです。 NoScriptは、Firefoxの右クリックコンテキストメニューにエントリを追加します。これを使用して、サイトを許可または禁止したり、拡張機能のオプションやその他の機能を開いたりできます。

アイコンを使用すると、開発者が拡張機能に組み込んだいくつかのスマートな機能を利用できます。現在のサイトのすべてのスクリプトを許可するには、アイコンを中クリックします。さらに、左クリックトグルを有効にして、オプションの[全般]でトップレベルサイトを許可またはブロックできます。

ブロックされたスクリプトに関するメッセージが通知の画面に表示されることに気付くでしょう。これは、コンテキストメニューのみを使用する場合に役立ちますが、アイコンを使用する場合は、アイコン自体によっても強調表示されます。

私はまだ知らないことは何も言わずに画面の一部をブロックするので、通知を削除することを好みます。

オプションの通知タブで通知を無効にすることができます。

noscript notifications

メッセージを表示する代わりに、音声フィードバックを有効にすることもできます。特にブラウジングセッション中に多くのサイトを読み込む場合は、お勧めしません。

アイコンを左クリックまたは右クリックしたときにNoScriptが表示するサイトリストに戻ります。

noscript permissions

メニューは、サイトが実行しようとするすべてのスクリプトを強調表示します。ルートドメインは常にリストの一番下に表示されますが、他のすべてのドメインはその上に表示されます。

ヒント :サイトの全機能を確保するには、通常、ルートドメインを許可するだけで十分です。最初からホワイトリストに登録せずにサイトを読み込んで、すぐに機能するかどうかを確認することをお勧めします。そうでない場合は、ロードする必要のあるスクリプトが原因である可能性があります。ルールには例外があります。サイトによっては、コンテンツ配信ネットワークを使用している場合があります。許可する必要があるcdn.ghacks.netと、jqueryなどのサードパーティのサイトからライブラリをロードするサイトもあります。

私の中で述べたように 6 NoScriptヒントガイド 、ここで任意のドメインを中クリックして、セキュリティチェックを実行できます。中クリックすると、Web of Trust、McAfee Site Advisor、hpHostなどの一般的なサイトセキュリティサービスにリンクするNoScript Webサイトのページに移動します。

それらを使用して、許可する前に何も知らないドメインをチェックします。その代わりに手動でドメインをチェックすることです Virustotal

ヒント :任意のドメイン名を右クリックして、それをクリップボードにコピーします。

より深く掘る

もう少し深く掘り下げましょう。 NoScriptは、単なるスクリプトブロッキング以上のものを提供します。埋め込みコンテンツの処理にも使用できます。

これらのコンテンツは、ホワイトリストに登録されていないサイトではデフォルトでブロックされますが、一時的または永続的にホワイトリストに登録したサイトではブロックされません。

つまり、Java、Flash、Silverlight、その他のプラグインなどのコンテンツは、デフォルトでホワイトリストに登録されたサイトに読み込まれます。これを望まない場合は、[NoScriptオプション]> [埋め込み]で次の構成を変更する必要があります。

whitelisted sites

これが役立つ例を以下に示します。サイトのすべての機能を利用するには、サイトをホワイトリストに登録する必要があるとします。そうすることにより、Flash広告、ビデオ、またはプラグインの使用を必要とするその他のコンテンツの再生を誤って許可してしまう可能性があります。

YouTubeなどのホワイトリストに登録されたサイトでこれらのコンテンツを再生できるようにすることは理にかなっているかもしれませんが、ビデオにアクセスすると、これらの制限をホワイトリストに登録されたサイトにも適用すると、セキュリティとプライバシーが向上します。

それはそれらのコンテンツを有効にするためにもっとクリックすることを意味しますが、それはトレードオフです。

この機能を有効にすると、ブロックされたコンテンツをクリックするたびに確認メッセージが表示されます。これを無効にするには、「オブジェクトの一時的なブロックを解除する前に確認を求める」を無効にします。

注意 :同じページで禁止アイテムを設定できます。したがって、一部のコンテンツを許可し、他のコンテンツを禁止することは理論的には可能です。可能なオプションの1つは、Flashを許可し、他のすべてのコンテンツを禁止することです。

高度なオプション

ここで説明したXSLT、XSS、ABE、またはpingなどの多くの技術用語を見つけるため、最初は詳細オプションが怖いかもしれません。

一般的に、これらのオプションは、特定の機能が必要でない限り、そのままにしておくのが最善です。

ここで重要な機能の1つは、安全なCookieの処理です。選択したサイトに対してHTTPS経由で設定されたCookieを強制的に暗号化するようにNoScriptを構成できます。

一部のWebサービスは安全な接続でCookieを設定しますが、それらのCookieを安全であるとマークできません。その結果、同じドメインからのそのCookieに対する要求は、HTTPS以外のページからのものであっても許可されます。

ただし、一部のサイトで問題が発生し、それらのサイトにログインできなくなったり、ページを切り替えたときに自動的にログアウトされたりする場合があります。

ショートカットCtrl-Shift-iを使用してFirefoxのWebコンソールを開くと、これらの問題に関する情報が見つかります。情報を使用して、ルールに例外を追加します。

他にも注目すべき機能として、信頼できないサイトでブックマークレットを禁止するオプション、信頼できるサイトにローカルリンクを許可するオプション、JavaScriptリンクの修正を禁止するオプションがあります。

参考文献

NoScriptに関する追加情報のおそらく最適な場所 よくある質問です 著者が維持すること。ここでは、いくつかの技術用語について説明します。便利なヒントとテクニックのセクションもあります。

質問は、 公式フォーラム よく利用されます。