Haastattelu NoScriptin luojan Giorgio Maonen kanssa

NoScript on voittanut palkintoja vuosittain virallisen julkaisunsa jälkeen vuonna 2005. Useat kollegani, jotka sattuvat olemaan Google-faneja, kieltäytyvät ehdottomasti siirtymästä Firefoxista Chromeen yksinkertaisesti Nocriptin takia. Kirjoitin Chromesta, kun se ensimmäisen kerran ilmestyi, ja monet TechRepublic-jäsenet, jotka kommentoivat, eivät aio luopua NoScriptiä, riippumatta Chromen sisäisistä suojausominaisuuksista.

Miksi tunnustukset ja ylivoimainen uskollisuus? Se on yksinkertaista, NoScript tekee sen, mitä se mainostaa, ja tekee sen hyvin.

Kuka on Giorgio Maone?

Totta puhuen, olen tuntenut NoScriptin luoja Giorgio jo useita vuosia, kun olen keskustellut hänen sovelluksensa yksityiskohdista useaan otteeseen. En vain ole viettänyt aikaa tuntea häntä henkilökohtaisesti. Päätin, että oli aika muuttaa sitä.

Kassner : Hei, Giorgio. Kiitos, että suostuit haastatteluun. NoScript on Firefoxin arvostettu turvallisuuslisäosa. Miksi sinulle oli tärkeää kehittää NoScript? Maone : Ensimmäinen nollapäivän Firefox-haavoittuvuus ilmestyi vuonna 2005. Haavoittuvuus antoi hyökkääjille mahdollisuuden asentaa haittaohjelmia tietokoneelle vasta vieraillessaan hyökkäyksen verkkosivustolla. Ehdotettu korjaustoimenpide oli JavaScriptin poistaminen käytöstä. Mutta se ei ole käytännöllistä, koska monet sivustot rikkovat, jos JavaScript on poistettu käytöstä.

Mietin, onko olemassa tapa pitää yllä sekä käytettävyys että turvallisuus, ja päätin tehdä jotain sen suhteen. Kaapasin kahvini, istuin tietokoneen luo ja loin kolmen päivän sisällä Nocriptin. Tuolloin minulla ei ollut aavistustakaan, kuinka paljon tämä 72 tunnin koodausmaratoni muutti elämääni.

Kassner : Minusta on ilahduttavaa, että teit. Seuraava kysymys - miten NoScript toimii? Maone : NoScriptin nimen takana oleva ominaisuus on kyky estää JavaScript, Flash, Java ja muu aktiivinen sisältö - lähinnä laajennukset -, jotka sallivat verkkosivujen toimimisen ohjelmina web-selaimen sisällä.

NoScript estää oletuksena minkä tahansa verkkosivun kaiken aktiivisen sisällön, mikä saattaa rikkoa joitain verkkosivustojen toimintoja. Tämän estämiseksi käyttäjän on kerrottava NoScriptille, mihin komentosarjojen lähteisiin luotetaan, valitsemalla ne valikosta. NoScript muistaa sitten valinnat pysyvässä valkoisessa luettelossa. Tämä vähentää hyökkääjän mahdollisuuksia suorittaa haitallista koodia säilyttäen samalla täydet toiminnot tarvittaessa.

Ajan myötä NoScript on kasvanut; tarjoaa suojausominaisuuksia, jotka ovat riippumattomia komentosarjoista ja sisällön estämisestä. Verkkopohjaisten hyökkäysten joukossa NoScript estää - jopa komentosarjojen ollessa käytössä -:

  • XSS: "Injection Checker" estää haitallisia verkkosivuja injektoimasta skriptejään muihin sivustoihin.
  • Napsauttaminen: ClearClick-ominaisuus on toistaiseksi ainoa tehokas asiakaspuolen suojaus tätä hyökkäystä vastaan.
  • CSRF: ABE-moduuli sieppaa oletuksena kaikki alueiden väliset HTTP-hyötykuormat.
  • MITM: NoScript voi varmistaa, että HTTPS: ää käytetään, jos se on käytettävissä, estäen tämän tyyppisiä hyökkäyksiä.
Kassner : Mitä oivalluksia voit tarjota ihmisille, jotka yrittävät päättää, mitä tehdä tietylle skriptille tai laajennuslähteelle? Maone : Ihmisten on perusteltava päätöksensä sosiaalisista ja taloudellisista syistä, ei teknisistä syistä. Esimerkiksi:
  • Pitääkö minun todella olla vuorovaikutuksessa tämän verkkosivuston kanssa?
  • Millaisen suhteen solmin verkkosivuston omistajan kanssa?
  • Voinko saada korvausta, jos tietokoneeni on vaarantunut?

NoScript auttaa myös osoittamalla komentosarjojen lähteet, joita verkkosivu yrittää ladata, antamalla sinun hallita niitä erikseen - jopa luotetut verkkosivustot voivat linkittää kolmansien osapuolien komentosarjoja, jotka eivät ehkä ansaitse samaa luottamustasoa. Jos et tiedä kenelle tietty skripti kuuluu tai jos et pysty selvittämään skriptin roolia, napsauta keskipainiketta tai siirrä napsauttamalla NoScript-valikkokohtaa saadaksesi tietoa siitä.

Kassner : Luin jostain käyttäjistä, joilla "sallitaan kaikki skriptit", on edelleen hyötyä. Pitääkö tämä paikkansa? Maone : Se on totta. Yllä luetellut lisäominaisuudet toimivat skripti- ja laajennusoikeuksista riippumatta . Joten Nocriptin poistamisen sijaan on parempi käyttää Salli skriptit globaalisti -komentoa. Toinen jäljellä oleva etu on kyky mustalle listalle yksittäiset sivustot. Kassner : Nyt vaikeaan kysymykseen, eteenpäin eteenpäin 20 vuotta - onko NoScript edelleen olemassa? Maone : Uskon vakaasti, että Nocriptia tarvitaan lähitulevaisuudessa. Niin kauan kuin ohjelmistoja käytetään välittäjinä meidän ja ulkomaailman välillä ("käyttäjäagentit", kuten Firefox pääsyyn Internetiin), on niitä, jotka keksivät tapoja hyödyntää käyttäjiä (sosiaalisuunnittelu), käyttäjäagenttia (selain) suunnitteluvirheet) ja maailma (web-sovellusten tietoturvaongelmat).

Ajan myötä olen havainnut kolmenlaisia ​​ihmisten reaktioita:

  • Ne, jotka huutavat, "taivas putoaa", "Internet on rikki" ja "olemme kaikki tuomittuja".
  • Ne, joiden mielestä Internet on rikki, "emme voi korjata sitä", joten olemme määritelmänsä mukaan riittävän turvallisia.
  • Yksityishenkilöt - lähinnä turvallisuustutkijat ja -kehittäjät -, jotka kilpailevat sekä selaimista että Internetistä, tarvitsevat apua ja yrittävät korjata molemmat.

Olen aina yrittänyt olla yksi "korjaajista", tehden NoScriptin saatavana Internetin kokeellisena "korjaamona".

Kun kehitin ensin asiakaspuolen anti-XSS-suojauksen, kukaan ei uskonut sen toimivan. Ja nyt jokaisella nykyaikaisella selaimella on suodatin tai se ottaa käyttöön uuden. Jotkut kuten XSS-suodattimet, HTTPS: n täytäntöönpano, Älä seuraa -sovellus tai napsauttamalla -toisto - joko uranuurtaja tai kenttäkokeiltu Nocriptin avulla - löytävät hitaasti tiensä valtavirran selaimissa ja verkkostandardeissa.

ClearClick todennäköisesti standardisoidaan. Olen toimittaja napsautuksenvastaisesta ehdotuksesta, joka on toimitettu W3C: n Web-sovellusten suojaustyöryhmälle, jossa istun kutsutuna asiantuntijana. Joten niin kauan kuin Internet tarvitsee korjaajia ja korjaamoa, NoScriptille on tilaa.

Kassner : Sinun on oltava täynnä pyyntöjä Nocriptin porttia varten Chrome-selaimeen. Yhdessä keskustelumme aikana mainitsit, että se vaatisi Googlea tekemään joitain muutoksia. Mitä sinun kannattaa luoda NoScript for Chrome? Maone : Kromin kehittäjät - jotka haluavat nähdä tämän tapahtuvan - ovat poistaneet joitain teknisiä esteitä. Mutta muut asiat ovat edelleen; kuten tiukasti asynkroninen prosessienvälinen viestintäsuunnittelu, joka estää tietoturvakäytäntöjen luotettavan täytäntöönpanon.

Siitä huolimatta aion lopulta kehittää NoScript for Chromen. Pelkään vain, että se ei ole sama kuin NoScript for Firefox. Mozilla-laajennusalustan joustavuus on lyömätön, mikä mahdollistaa nousevien uhkien kokeellisten vastatoimien nopean suunnittelun ja prototyyppien - NoScriptin tehtävä ja tavaramerkki.

Kassner : Työskenteletkö parhaillaan uusissa projekteissa - onko totuus huhulle, jota ajattelet mobiilisovellusten kehittämisestä? Maone : Itse asiassa olen julkaissut NoScript Firefox Mobilelle vuonna 2011, tarjoamalla Android-käyttäjille turvallisemman selauskokemuksen. Pyrin tällä hetkellä tukemaan seuraavan sukupolven Firefox for Android - beta-versiota, ja uudistin radikaalisti nopeuden ja reagointikyvyn suhteen. Yritän myös yhdistää NoScriptin mobiili- ja työpöytäversiot yhdeksi paketiksi. Kassner : Koska joku tuntee hyvin Internetin toiminnan, oletko optimistinen Internetin tulevaisuuden suhteen vai onko se kovettumassa kaikkiin ongelmiin? Maone : Huolimatta kuuluisasta vainoharhaisuudestani olen toiveikas. "Internet" on valtava sotkuinen kasa heterogeenisiä ja alimääriteltyjä tekniikoita, jotka on liimattu yhteen loitsun kanssa. Mutta toistaiseksi se on selvinnyt olemalla joustava ja mukautuva, kaksi avainominaisuutta, jos sillä on tulevaisuutta. Kyllä, ongelmia on, mutta voimme korjata ne (toivottavasti ei luoda uusia).

Teknisten pikemminkin huoleni ovat poliittiset: ihmiset, jotka katsovat kyberavaruutta mahdollisuutena tiedonvapaudelle ja demokraattiselle valinnalle, kun taas yritykset, jotka mahdollisesti tekevät yhteistyötä hallitusten kanssa, muuttaavat Internetin viimeisimmäksi salakuuntelu- ja valvontalaitteeksi.

Kassner : Löysin Firefoxin "Tapaa lisäosakehittäjän " -sivun:

Isä ensin, sitten ohjelmistokehittäjä, joka teki minuun vaikutuksen. Joten tarjoan ylpeälle isälle mahdollisuuden kertoa meille perheestä viileiden sävyjen takana.

Maone : Kiitos. Kuva on otettu Palermon rannalla. Aurinkoinen Sisilia on erittäin kaunis ja sankarien maa. Pieni vaaleanpunainen lady on Irene Ipazia. Tyttäreni keskimmäinen nimi kunnioittaa Hypatiaa, hienoa naista, tutkijaa ja vapaan ajatuksen marttyyria.

Vasemmalla oleva nuori dandy on Francesco Libero. Francesco nimettiin myöhään isäni, insinöörin ja keksijän mukaan. Libero on italialainen ilmaisulla "vapaa" kuten "vapaus". Molemmat ovat eläneet nimensä toistaiseksi, ja he ovat loistavia hakkereita. Toivon, että he pitävät kiinnostustaan ​​vanhetessaan. Voisin käyttää apua.

Lopulliset ajatukset

On selvää, että Giorgion elämässä on kaksi tärkeää kappaletta, hänen perheensä ja NoScript. Haluan kiittää Giorgioa hänen jatkuvasta työstään NoScriptin kanssa ja arvokkaan ajan jakamisesta haastatteluun.

© Copyright 2020 | mobilegn.com