Et intervju med Giorgio Maone, skaperen av NoScript

NoScript har vunnet priser hvert år siden den offisielle utgivelsen i 2005. Flere kolleger av meg, som tilfeldigvis er Google-fangutter, nekter helt klart å bytte fra Firefox til Chrome, ganske enkelt på grunn av NoScript. Jeg skrev om Chrome da den først kom ut, og mange av TechRepublic-medlemmene som kommenterte var ikke i ferd med å gi fra seg NoScript, uavhengig av Chrome innebygde sikkerhetsfunksjoner.

Hvorfor utmerkelser og overveldende lojalitet? Det er enkelt, NoScript gjør det den annonserer og gjør det godt.

Hvem er Giorgio Maone?

For å være ærlig har jeg kjent Giorgio, skaperen av NoScript i flere år, etter å ha diskutert detaljer om appen hans ved flere anledninger. Jeg har bare ikke tatt meg tid til å bli kjent med ham personlig. Jeg bestemte meg for at det var på tide å endre det.

Kassner : Hei, Giorgio. Takk for at du godtok dette intervjuet. NoScript er et høyt ansett sikkerhetstillegg for Firefox. Hvorfor var det viktig for deg å utvikle NoScript? Maone : Den første nulldagers Firefox-sårbarheten dukket opp i 2005. Sårbarheten tillot angripere å installere skadelig programvare på en datamaskin bare fra å besøke angrepsnettstedet. Det foreslåtte middelet deaktiverte JavaScript. Men det er upraktisk, fordi mange nettsteder går i stykker hvis JavaScript er deaktivert.

Jeg lurte på om det fantes en måte å beholde brukervennlighet og sikkerhet på, og bestemte meg for å gjøre noe med det. Jeg tok kaffen min, satte meg ved datamaskinen og skapte NoScript på tre dager. På det tidspunktet ante jeg ikke hvor mye det 72-timers kodemaratonet ville forandre livet mitt.

Kassner : Jeg er glad for at du gjorde det. Neste spørsmål - hvordan fungerer NoScript? Maone : Funksjonaliteten bak NoScript-navnet er muligheten til å deaktivere JavaScript, Flash, Java og annet aktivt innhold - for det meste plugin-moduler - som gjør at nettsider kan kjøres som programmer i nettleseren.

NoScript blokkerer som standard alt det aktive innholdet på en hvilken som helst webside, noe som kan ødelegge funksjonaliteten til nettstedet. For å forhindre det, må brukeren fortelle NoScript hvilke skriptkilder som skal klareres ved å velge dem fra en meny. NoScript husker deretter valgene i en permanent hviteliste. Dette reduserer mulighetene en angriper har til å kjøre ondsinnet kode, samtidig som den beholder full funksjonalitet der det er nødvendig.

Over tid har NoScript vokst; tilbyr sikkerhetsfunksjoner uavhengig av skript og innholdsblokkering. Blant de nettbaserte angrepene som NoScript forhindrer - selv med skripting aktivert - er:

  • XSS: "Injection Checker" forhindrer ondsinnede websider fra å injisere skriptene sine på andre nettsteder.
  • Clickjacking: ClearClick-funksjonen er den eneste effektive beskyttelsen fra klientsiden mot dette angrepet så langt.
  • CSRF: ABE-modulen avskjærer som standard all HTTP nyttelast over tvers.
  • MITM: NoScript kan sørge for at HTTPS brukes hvis den er tilgjengelig, og forhindrer denne typen angrep.
Kassner : Hvilken innsikt kan du tilby folk som prøver å bestemme hva de skal gjøre med et spesifikt skript eller plugin-kilde? Maone : Folk må basere beslutningene sine på sosiale og økonomiske grunner, ikke tekniske. For eksempel:
  • Må jeg virkelig samhandle med dette nettstedet?
  • Hva slags forhold inngår jeg med nettstedets eier?
  • Kan jeg få kompensasjon hvis datamaskinen min er kompromittert?

NoScript hjelper videre ved å vise skriptkildene en webside prøver å laste inn, slik at du kan kontrollere dem individuelt - selv pålitelige nettsteder kan koble tredjepartsskript som kanskje ikke fortjener samme tillitsnivå. Hvis du ikke vet hvem et bestemt skript tilhører, eller hvis du ikke kan finne ut om skriptets rolle, kan du klikke på midten eller skifte på NoScript-menyposten for å få informasjon om det.

Kassner : Jeg leste et sted brukere som "tillater alle skript" fremdeles har en viss fordel. Er det riktig? Maone : Det stemmer. Tilleggsfunksjonene som er oppført over fungerer uavhengig av skript- og plugin-tilgangstillatelser. Så istedenfor å avinstallere NoScript, er det bedre å bruke kommandoen Tillat skript globalt . En annen fordel som gjenstår er muligheten til å svarteliste individuelle nettsteder. Kassner : Nå for det tøffe spørsmålet, 20 år fremover - vil NoScript fortsatt være i nærheten? Maone : Jeg tror bestemt at NoScript vil være nødvendig i overskuelig fremtid. Så lenge programmer brukes som formidlere mellom oss og omverdenen ("Brukeragenter", som Firefox for å få tilgang til Internett), vil det være de som finner ut måter å utnytte brukere (Social engineering), brukeragenten (nettleser) designfeil) og verden (sikkerhetsproblemer med nettapplikasjoner).

Over tid har jeg observert tre slags menneskelige reaksjoner:

  • De som roper, "himmelen faller, " "Internett er ødelagt, " og "vi er alle dømt."
  • De som føler at internett er ødelagt, "vi kan ikke fikse det, " så vi er trygge per definisjon.
  • Enkeltpersoner - hovedsakelig sikkerhetsforskere og utviklere - som bestrider både nettlesere og Internett trenger hjelp og prøver å fikse begge.

Jeg har alltid prøvd å være en av de "fixerne", noe som gjør NoScript tilgjengelig som et eksperimentelt "verksted" for Internett.

Da jeg først utviklet en klientside anti-XSS beskyttelse, trodde ingen at det ville fungere. Og nå har hver moderne nettleser et filter eller er i ferd med å implementere en. Ting som XSS-filtre, HTTPS-håndhevelse, ikke-spor eller klikk-for-spill - enten pioner eller felteksperimentert ved hjelp av NoScript - finner sakte veien i mainstream nettlesere og nettstandarder.

ClearClick vil sannsynligvis bli standardisert. Jeg er redaktør for et anti-clickjacking-forslag sendt til W3Cs arbeidsgruppe for webapplikasjonssikkerhet, hvor jeg sitter som en invitert ekspert. Så, så lenge Internett trenger fixere og et verksted, vil det være plass for NoScript.

Kassner : Du må bli oversvømmet med forespørsler om å port NoScript til Chrome nettleser. Under en av samtalene våre nevnte du at det ville kreve at Google gjør noen endringer. Hva vil det til for deg å lage NoScript for Chrome? Maone : Kromutviklere - som vil se dette skje - har fjernet noen tekniske hindringer. Men andre spørsmål gjenstår; for eksempel den strengt asynkrone kommunikasjonsdesign mellom prosessene som forhindrer sikkerhetspolitikk fra å håndheves pålitelig.

Likevel skal jeg utvikle NoScript for Chrome etter hvert. Jeg er bare redd for at den ikke vil være på nivå med NoScript for Firefox. Fleksibiliteten til utvidelsesplattformen for Mozilla er uslåelig, og tillater rask design og prototyping av eksperimentelle mottiltak for nye trusler - oppdraget og varemerket til NoScript.

Kassner : Jobber du på noen nye prosjekter for tiden - noen sannhet til ryktet du tenker på utvikling av mobilapper? Maone : Egentlig slapp jeg NoScript for Firefox Mobile i 2011, og tilbyr Android-brukere en tryggere surferepplevelse. Jeg jobber for øyeblikket med å støtte neste generasjons Firefox for Android - i beta, og radikalt fornyet for hastighet og respons. Jeg prøver også å konsolidere mobile og stasjonære versjoner av NoScript til en enkelt pakke. Kassner : Er du optimistisk med tanke på fremtiden, som noen godt kjent med internettets virkning, eller kommer det til å implodere seg fra alle problemene? Maone : Til tross for min berømte paranoia, er jeg håpefull. "Internett" er en enorm rotete haug med heterogene og underspesifiserte teknologier limt sammen av en eller annen trolldom. Men så langt har den overlevd ved å være spenstig og tilpasningsdyktig, to sentrale egenskaper for å ha en fremtid. Ja, det er problemer, men vi kan fikse dem (forhåpentligvis ikke lage nye).

I stedet for teknisk er bekymringene mine politiske: folk ser på nettområdet som en sjanse for informasjonsfrihet og demokratisk valg, mens selskaper som muligens samvirker med regjeringer for å gjøre Internett om til den endelige wiretapping og kontrollenheten.

Kassner : På Firefox "Meet the Add-on Developer" -siden fant jeg denne:

Pappa først, deretter programvareutvikler, som imponerte meg. Så jeg tilbyr en stolt far sjansen til å fortelle oss om familien bak de kule nyanser.

Maone : Takk skal du ha. Bildet er tatt ved stranden i Palermo. Vår solfylte Sicilia er ekstremt vakker og et land med helter. Den lille damen i rosa er Irene Ipazia. Mitt datters mellomnavn hyller Hypatia, en flott kvinne, vitenskapsmann og fri martyr uten tanke.

Den unge dandien til venstre er Francesco Libero. Francesco ble oppkalt etter min avdøde far, en ingeniør og oppfinner. Libero er italiensk for "fri" som i "frihet." Begge har levd opp til navnene sine så langt, og de er kjempefine hackere. Jeg håper de holder interessen når de blir eldre. Jeg kunne bruke litt hjelp.

Siste tanker

Det er klart, det er to viktige brikker i Giorgios liv, hans familie og NoScript. Jeg vil takke Giorgio for hans fortsatte innsats med NoScript og dele hans verdifulle tid til dette intervjuet.

© Copyright 2020 | mobilegn.com