Miércoles, 14 de Noviembre de 2007 por
NoScript: ¿seguridad paranoide?
Puede que muchos no estén de acuerdo con lo mi opinión sobre la extensión de Firefox NoScript pero, y aunque desde el punto de vista de la seguridad puede ser realmente interesante, me crea un problema que no necesito.
Esta extensión permite filtrar absolutamente todos los Javascripts de una página. Funciona a través de una lista blanca a la que se van añadiendo páginas conforme las vamos visitando y autorizamos sus scripts. Todo esto se hace por dominios de modo que si una página, por ejemplo carga un script de estadísticas de otro dominio, pues tenemos que autorizar cada uno de los dominios. Y el caso contrario. Por ejemplo, si autorizamos estas estadísticas y vamos a una web que no hemos visitado, solamente se ejecutará este script.
Además, ofrece cierta protección adicional contra ataques de XSS (ya que limita los dominios de ejecución, se puede decir que imposibilita estos ataques) y incluso añade algún parche que el propio Firefox aun no implementa. En resumen, desde el punto de vista de la seguridad es realmente valiosa: ejecutamos solamente los Javascripts de los dominios en los que confiamos.
Y hasta aquí las que considero que son las bondades de esta extensión. Pero tiene un gran inconveniente: es molesto. Sus fans dicen que total, siempre navegamos por los mismos sitios y que al final acabas teniendo una bonita lista blanca con lo que en general no molesta. Y además puedes eliminar el aviso de bloqueo de scripts en la parte inferior y ya ni molesta. Pues no: molesta, molesta y molesta.
Me paso el día visitando nuevas webs, descubriendo nuevos blogs, haciendo búsquedas en Google que me llevan a sitios insospechados y cada vez que llego a un sitio nuevo: scripts bloqueados. Dale al botoncito y autorízalos. Después espera a que la página vuelva a cargarse de nuevo con la nueva configuración. Y así sucesivamente.
Por otro lado, como creador de contenidos para web, me gusta que la gente vea las cosas tal y como yo he pensado que las vean. Vale que esto es complicado con la gran cantidad de navegadores y dispositivos que hay pero francamente, me esfuerzo en hacer bonitas páginas, aprender a usar técnicas AJAX, empaparme los diversos frameworks, probar en múltiples configuraciones, etc... para que luego al final entre alguien con el Javascript desactivado y se vaya todo al garete. No, no me gusta.
Igual no lo he configurado correctamente pero vistas las quejas y las justificaciones de sus seguidores, creo que está funcionando correctamente. En definitiva: no lo volveré a instalar. Puedo asumir los riesgos.
Enlace: NoScript Firefox Extension
Comentarios
Cierto, muy cierto. Lo tengo instalado en el portatil de empresa, simplemente por probar y creo que aunque en ciertos casos puede ser una buena opción (por ejemplo en empresas en las que el usuario no debiese navegar “en exceso” durante su tiempo de trabajo), a mi en casa me acabó resultando tan tedioso que simplemente lo quité.
Nunca he tenido un problema de seguridad sin usar “NoScript” con mi navegador y es especialmente engorroso el hecho de que cuando aceptas un dominio pierdas todo lo que hayas metido en el formulario de turno al hacer un reload…
La solución no pasa por medidas superrestrictivas, sino por tener conciencia de por donde navega uno…
Saludos
Exacto. Hay mucha gente que recomienda esta extensión y de hecho aparece en la lista de las más populares de Firefox. Me sorprende, pero bueno, cada cual es libre de navegar como quiera, pero una de las pegas que más molesta a la gente de Windows Vista es la cantidad de mensajes de “aprobación” que muestra.
La única utilidad que le veo es la protección real contra ataques XSS, pero debería ser algo que viene con el navegador y no con una extensión externa.
Yo uso la extensión pero la tengo desactivada. Si voy a visitar algun sitio sospechoso lo activo y ya está. Yo creo que es recomendable
Bueno, es otra política. Supongo que si algún día tengo algún problema grave me lo plantearé.
Además, es posible que cuando voy a visitar una página sospechosa… sea demasiado tarde para activarlo.
Lo más molesto es la publicidad y con el Ad Block Plus la verdad es que me apaño bastante bien, por lo menos para los anuncios realmente molestos o que no funcionan correctamente en Firefox, que los hay.