Wie kann ich Firefox zwingen, nur digital signiertes Javascript auszuführen?

530
rjt

Dies ist der Grund, warum die Epidemie von bösartigen Anzeigen im letzten Jahr so ​​viel schlimmer geworden ist. Zwangsumleitungen der Zirconium-Gruppe treiben falsche Malware und fälschen Flash-Updates. DAN GOODIN - 1/23/2018, 05:00 AM Malicious JavaSkript benötigte nicht die Exploits MeltDown oder Spectre, um https://support.Microsoft.com zu fälschen .

In den 1990er Jahren hatte Netscape die Möglichkeit, Javascript digital zu signieren, und Mozilla übertrug einen Großteil dieser API auf Firefox . Es wurde jedoch keine Einstellung gefunden, um die Ausführung von JavaScript auf streng digital signiertes Javascript zu beschränken.
Wenn Firefox dies nicht unterstützt, gibt es einen Webbrowser mit nativer (nicht Plug-in-fähiger) Fähigkeit, die Ausführung von Javascript abzulehnen, das nicht digital signiert ist? Im Idealfall kann man alle Javascript außer einer kurzen WhiteList vertrauenswürdiger Extended Validation-Domänen ablehnen. Dann kann es sich bei WhiteList um eine kürzere Liste von domänenvalidiertem, digital signiertem JavaScript dieser bestimmten Autoren / Domänen handeln.

0
Was lässt Sie glauben, dass Javascript, wenn es in einem Browser geladen wird, digital signiert werden kann? Ich kann nicht sagen, dass ich jemals auf diese Empfehlung gestoßen bin, und das würde den größten Teil des Internets zerstören. Sprichst du über ganze .js-Dateien oder Ersatzmethoden? Frank Thomas vor 6 Jahren 0
Es wäre einfacher, ganze .js-Dateien zu erstellen. Folgen Sie dem [Firefox-Link in der Frage] (https://www-archive.mozilla.org/projects/security/components/signed-scripts.html), aus dem hervorgeht, dass es seit den Tagen von Netscape in der Nähe ist brechen Sie das Internet Was nützt es, auf eine https-Website zu gehen und dann potenziell bösartige Js auszuführen? Eine sehr große Anzahl von Werbeplattformen enthielt schädliches Javascript, weshalb Noscript und AdBlock so beliebt waren. rjt vor 6 Jahren 0
MeltDown und Specter erlauben es schädlichen Javascript, andere Anwendungen und den Kernel-Speicher zu lesen. Daher benötigen wir diese Funktion jetzt wirklich. rjt vor 6 Jahren 0
Mit MeldDown und Spectre im Spiel würde signiertes Javascript nicht besser sein als unsigniert. Signiert alles bedeutet nur, dass jemand viel Geld bezahlt hat, um einen autorisierten Signaturschlüssel zu erhalten. es legt die Messlatte etwas höher, aber nicht hoch genug. Außerdem müsste sich das gesamte Internet ändern, um das zu tun, was Sie vorschlagen, und niemand versucht es so nahe wie ich kann. Selbst wenn es Mode geworden wäre, alle Javascript zu signieren und die Ausführung im Browser nur zuzulassen, wenn das Skript signiert ist, würde dies nur in einem viel kleineren Internet zu signierter Malware führen. Frank Thomas vor 6 Jahren 0
Die meisten Websites, die Menschen für ihre Arbeit benötigen, sind eine sehr kleine Teilmenge des Internets. Beschränken Sie also das Javascript, das ausgeführt wird, auf eine kurze Whitelist mit signiertem Code für das Extended Validation Certificate. Möglicherweise eine kürzere Liste von Domain-verifiziertem Zertifikat-Javascript. Bei allen anderen Websites kann den Mitarbeitern gesagt werden, dass das Internet vor Javascript funktioniert. rjt vor 6 Jahren 0
Ich sage nicht, dass du falsch liegst. Ich sage, dein Pferd ist tot, also kannst du jetzt aufhören, es zu schlagen. Frank Thomas vor 6 Jahren 0
Die DNA vom ausgestorbenen Pferd holen und zum Leben erwecken. rjt vor 6 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme