人気のあるFirefoxセキュリティアドオンNoScriptの開発者は、Firefox 57ブラウザのリリース後まもなく、Firefox 57互換バージョンの拡張機能をリリースしました。
彼はMozillaと協力してNoScriptの新しいバージョンを作成し、NoScriptのクラシックバージョンから新しいバージョンに設定を移行するオプションを実装しました。
最初のバージョンは混合レビューを受けました。 Firefox 57以降でNoScriptが利用可能であることに満足しているユーザーもいれば、新しいユーザーインターフェースが気に入らない、または欠落している機能を批判するユーザーもいました。
ほこりが落ち着いたので、Firefox 57以降のNoScriptの更新されたガイドを公開します。
Firefox向けNoScriptガイド
NoScript Security Suiteは、ユーザーがサイトで実行できるコンテンツを制御できるように設計されたFirefox Webブラウザー用のブラウザー拡張機能です。 この拡張機能はデフォルトでJavaScriptの実行をブロックするため、セキュリティとプライバシーが大幅に向上します。 NoScriptは、他の機能、XSSおよびクリックジャック攻撃保護、およびその他のセキュリティ強化機能をサポートしています。
NoScriptインターフェース
拡張機能のメインインターフェイスは、新しいバージョンで完全に変更されました。 NoScriptのクラシックバージョンはアクティベーションのリストビューに接続をリストしましたが、NoScriptの新しいバージョンはuMatrixが接続を処理する方法と同様に、代わりにマトリックスを使用します。
インターフェイスの上部にボタンツールバーが表示され、その下にドメインのリストが表示されます。 NoScriptは、現在のドメインを常に上部にリストし、その下にページのサードパーティ接続をリストします。
ドメインの横に表示される南京錠の記号は、ドメインへの接続にHTTPSが使用されていることを示しています。 一部の信頼レベルでは、南京錠の記号が表示されないことに注意してください。
ドメインの信頼レベルを設定する
インターフェイスでNoScriptによってリストされている各ドメインには、信頼レベルが関連付けられています。
- デフォルト -JavaScriptの実行は、オブジェクト、メディア、フォント、WebGLと同様にブロックされます。
- 信頼済み -JavaScriptの実行およびその他の要素を許可します。
- 一時的に信頼 -JavaScriptの実行とセッションの他の要素の読み込みを許可します。
- 信頼できない -すべてがブロックされています。
- カスタム -要素を個別に許可または禁止するオプションを提供します。 カスタムの横にある「ほぼ見えない」一時ボタンをクリックして、これらを一時的にすることができます。
NoScriptによってリストされた各ドメインには、1つの信頼レベルが関連付けられています。 行の別の信頼レベルをクリックすると、自動的に新しい信頼レベルに切り替わります。
NoScriptオプションは、「default」、「trusted」、および「untrusted」のプリセット許可を明らかにします。
そこで、チェックマークを追加または削除して、デフォルトのプリセットを変更することもできます。 NoScriptが区別する要素は次のとおりです。
- スクリプト -サイトが実行を試みるあらゆるタイプのスクリプト。
- Object -HTMLオブジェクトタグ。
- メディア -メディア要素。
- フレーム -サイトがロードしようとするフレーム。
- フォント -フォント要素。
- WebGL -WebGL要素。
- フェッチ -フェッチAPIを使用するリクエスト。
- その他 -不明。
ボタンツールバー
Firefox用NoScriptの最新バージョンでは、ボタンツールバーに7つのボタンが表示されます。 左から右へ:
- インターフェイスを閉じます。
- ページをリロードします。
- オプションを開きます。
- 制限をグローバルに無効にします。
- このタブの制限を無効にします。
- ページ上のすべてを一時的に信頼するように設定します。
- 一時的な許可を取り消します。
NoScriptは、右クリックメニューにコンテキストメニュー項目を自動的に追加します。 ただし、使用は制限されています。 それをクリックすると、ブラウザのUIの上部にメインのNoScriptインターフェイスが表示されます。 オプションのコンテキストメニューエントリを無効にすることができます。
NoScriptを使用する
拡張機能を最大限に活用するには、NoScriptの信頼レベルの仕組みを理解することが不可欠です。
Firefoxブラウザでサイトをロードすると、NoScriptはアイコンでブロックされたアイテムを示します。 アイコンをクリックすると、拡張機能が認識した接続と各サイトの信頼レベルが表示されます。 これらは、サイトが行うすべての接続ではないことに注意してください。 デフォルトではスクリプトの実行を許可しないため、サイトはすべてのサードパーティ接続をすぐに開始できない場合があります。
メインドメインでのスクリプトの実行を許可すると、それらがロードされるときに追加の接続を試行することに気付く場合があります。
ヒント :NoScriptによってリストされたドメインにカーソルを合わせてクリックすると、ドメインに関する情報を表示するためだけに、プライバシーおよびセキュリティサービスへのリンクでいっぱいのページが開きます。
サイトが適切に機能する場合、信頼レベルを変更する必要はないかもしれません。 ただし、最初の接続で一部の機能が正常に動作しない場合があります。
スクリプトやその他の要素はデフォルトでブロックされているため、それに関連するあらゆる種類の問題に気付くかもしれません。 サイトでは、フォームの送信の検証やビデオの再生から、広告や追跡などの不要なものまで、さまざまなことにスクリプトやその他の要素を使用しています。
ドメインの信頼レベルを「信頼済み」または「一時的に信頼済み」に変更すると、追加の要素を読み込むことができますが、「信頼済み」の信頼レベルではさらに多くの要素を防ぐことができます。
信頼できるものと信頼できないものは、引き続き利用可能な永続的な変更であることに注意してください。
サイトのトラブルシューティングは、サイトの機能が利用できないことに気づき、NoScriptが提供する保護が原因であると思われる場合に役立ちます。
この問題に対処するには、いくつかのオプションがあります。 ドメインを一時的に許可するか、カスタム信頼レベルを使用して、要素に個別に権限を設定できます。
「グローバルにすべて許可」または「タブにすべて許可」オプションは広すぎることが多いため、使用するのは好きではありません。 それらは快適ですが、いくつかのボタンを押すだけでサイトを機能させることができますが、それらを使用すると、NoScriptの保護機能のほとんどがなくなります。
NoScriptには、デフォルトでサイトを含むホワイトリストが付属しています。 「サイトごとのアクセス許可」の下のオプションでチェックして、すべてを信頼していることを確認してください。 残念ながら、デフォルトでリストにあるサイトを削除するオプションはありませんが、レベルを信頼済みからデフォルトまたは信頼できないものに変更できます。
NoScriptの以前のバージョンから移行した場合、そこにすべてのカスタムサイトが表示されます。
拡張機能を最大限に活用するためのヒントについては、NoScriptの効率的な使用に関するガイドをご覧ください。 10個のヒントがあります。たとえば、NoScriptが有効になっているサイトが適切にロードされない場合の対処方法です。
オプション
この時点では、特に従来のバージョンのNoScriptのオプションと比較する場合、オプションはやや制限されています。
NoScriptの設定は現在、次の機能を提供する4つのタブに分割されています。
- 全般 -既定、信頼、および信頼されていない状態のプリセットのアクセス許可を構成します。 また、「制限をグローバルに無効にする」と「トップレベルサイトを一時的に信頼済みに設定する」を有効にします。
- サイトごとのアクセス許可 -すべてのカスタム(デフォルトではない)アクセス許可を表示します。 検索が含まれます。
- 外観 -コンテキストメニュー項目を非表示にし、アイコンのカウントバッジを無効にし、権限ポップアップで完全なアドレスのリストを有効にします。
- 高度 -XSS保護を管理し、デバッグを有効にします。
オプションはリセット、インポート、またはエクスポートできます。
資源
- NoScriptの公式Webサイト://noscript.net/
- Mozilla AMOのNoScript://addons.mozilla.org/firefox/addon/noscript/
- NoScript GitHub://github.com/hackademix/noscript