NotScripts 網路安全戒嚴套件, Google Chrome上的 NoScript

notscript-03

NoScript」可以說是Firefox上最有代表性的擴充套件之一,不僅獲得廣泛好評,套件作者更聲稱安裝了NoScript的Firefox是世界上最安全的瀏覽器,因為它可以幫你阻擋網頁上所有的Javascript、Flash等動態元素執行,從而在格殺無論的「全面戒嚴」下,保障了網路瀏覽的安全(可能有很多火狐用戶就是因為NoScript而決定不跳巢到Google Chrome)。不過,今天終於看到有人開發出了適用於Google Chrome的NoScript,套件名稱就叫做:「NotScripts」。

不管是「NoScript(for Firefox)」或「NotScripts(for Google Chrome)」,基本防禦哲學是一樣的,那就是「先把所有內容擋起來再說」!所以稱之為「戒嚴」套件可說十分適當,無論好壞,反正瀏覽器開啟網頁時所有可執行元素都先予以阻擋,這就讓上網的「第一步」能夠獲得最大程度的安全保障(因為沒有東西可以被執行)。

然後,用戶才利用「白名單」功能,慢慢的把信任網站清單建立起來,允許來源值得信任的動態腳本執行,但其它沒有見過的、可疑的動態元素都一定會被事先隔離起來。這也是為什麼使用NoScript(NotScripts)需要一段適應期,初期要花費比較多時間建立自己的白名單,否則瀏覽網頁時將會遇到重重阻礙;但是當白名單建立起來後,NoScript(NotScripts)就可以幫你有效過濾出可疑的新網頁腳本元素

 

「NotScripts」套件的作者說,因為Google Chrome先天核心上的限制,所以真正Firefox上的NoScript模式目前還無法完整重現在Google瀏覽器中。但是套件作者利用了一些具有創意的方法,最大程度的在Google Chrome中重現了NoScript大致上的樣貌,實現了「預先阻擋」網頁中Javascript、Flash與各種動態元素執行的功能(詳細的原理說明,請參考:設計者網頁)。

也就是說,目前Google Chrome上的「NotScripts」,防護性上還是遜於Firefox上的NoScript;但在我的測試中,發現NotScripts已經可以預先阻擋絕大多數的網頁元件執行了,所以仍然是一款值得推薦的Google瀏覽器安全套件。

 

  • 01.

在Google Chrome上安裝「NotScripts」,一安裝完成就可以使用,這時候會預先阻擋絕大多數的網頁元件執行,基本上只有網站的內文等頁面核心元素可以顯示,那些需要呼叫外部網站支援的外掛腳本都會被阻擋。

而如果你想要獲得「自訂信任網站」等白名單功能,必須額外進行下面步驟2的修改。

notscript-01

 

  • 02.

找到「CHANGE__PASSWORD__HERE.js」這個檔案(可以利用Everything直接搜尋獲得:讓電腦工作變快!10個我常用的免費系統效率優化軟體),利用「記事本」開啟其內容,在「const ENCRYPTION_PASSWORD = " "」中,輸入一串自訂密碼,密碼長度必須多於20個字元。

如果要用檔案總管慢慢找,那麼CHANGE__PASSWORD__HERE.js的位置在:

  • Windows XP: C:\Documents and Settings\YOUR_USER_NAME\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\odjhifogjcknibkahlpidmdajjpkkcfn
  • Vista Win7: C:\Users\YOUR_USER_NAME\AppData\Local\Google\Chrome\User Data\Default\Extensions\odjhifogjcknibkahlpidmdajjpkkcfn
  • Mac OS X: ~/Library/Application Support/Google/Chrome/Default/Extensions/odjhifogjcknibkahlpidmdajjpkkcfn
  • Linux: ~/.config/google-chrome/Default/Extensions/odjhifogjcknibkahlpidmdajjpkkcfn

notscript-02

 

  • 03.

自行設定好一組密碼後,儲存CHANGE__PASSWORD__HERE.js,重新開啟Google Chrome,這時候NotScripts就可以正常使用「自訂阻擋與信任清單」功能了!來到任何網站,點擊網址列上的NotScript按鈕,就會開啟自訂清單(這裡的介面邏輯不是很順):

  • 「Forbid Scripts from」(紅色):代表目前這些腳本被允許執行,點擊後則改成禁止執行。
  • 「Allow Scripts from」(綠色):代表目前這些腳本被禁止執行,點擊後則改成允許執行。

notscript-07

 

  • 04.

你也可以拉到清單最後面,點擊〔Globally Allow All Temporarily〕,「暫時」允許所有的動態腳本執行。

而點擊「Options」則可以進入後台設定畫面。

notscript-04

 

  • 05.

在NotScripts的後台中,會非常詳細的解釋這款套件的原理,有時間大家可以研究一下。而切換到〔Whitelist〕頁面,就可以看到目前你所允許(信任)的網站白名單(前面步驟中當你點擊Allow Scripts後,該腳本的來源網站就會被加入白名單)。

目前的NotScripts只能阻擋「必須呼叫外部網站支援」來執行的動態腳本,例如你部落格上的Facebook外掛、Google流量統計等等。而如果你把Facebook網站、Google網站加入信任網站白名單,那麼由其所提供的腳本也就可以被順利執行。

notscript-05

 

  • 小結:

NotScripts剛剛被開發出來,或許還有一些使用上的侷限和問題,不過在我的簡單試用中,覺得已經是一款有效的瀏覽器安全套件。

如果你是Google Chrome用戶,而且很注重上網瀏覽的安全,希望能最大程度防止被惡意網頁元件攻擊,那麼推薦你可以試試看NotScripts,順便回饋一些意見給設計者。

留言

  1. NOSCRIPT是FIREFOX必裝套件
    NOTSCRIPT太麻煩了...會讓人不想用....

    回覆刪除
  2. NotScript前面多了一個密碼設定步驟,
    這一點確實是比較麻煩的地方。
    希望它後續版本可以在這個介面上做改進~^^

    不過像我文章裡面一樣使用Everything找到檔案進行修改的話,
    大概20秒以內就可以解決這個問題囉~^^

    回覆刪除
  3. 那是不是代表可以放心地用裝了NoScript 的FireFox 去瀏覽A片網或一些有害的網?

    回覆刪除
  4. 是的,但是你看不到任何東西的,這些網站一定會要你開啟JavaScript。NoScript這類的本來就是先當你們都是犯人,再一個個釋放,不過會利用它,的確瀏覽安全多了。要不你就裝一個VM來看不安全的網站吧!

    回覆刪除
  5. Extension的js嵌入機制讓這個套件顯得相當難用,比如我要用Readability改善閱讀的體驗,卻要先允許該domain的爛js程式碼運行,希望能有個好的解決方案。

    回覆刪除
  6. 我喜歡看網路小說,很多大陸小說網站都嵌入廣告甚至掛馬,Notscript可以擋掉這些。

    回覆刪除
  7. 大陸網站超愛跳窗,這個可以有效阻擋,非常方便

    回覆刪除
  8. 隨身碟的chromium要怎麼設定notscript密碼?

    回覆刪除
  9. ScriptSafe
    https://chrome.google.com/webstore/detail/scriptsafe/oiigbmnaadbkfbmpbfijlflahbdbdgdf

    回覆刪除

張貼留言

為了避免垃圾廣告留言過多,開始測試「留言管理」機制,讓我可以更容易回應讀者留言,並更簡單過濾掉廣告,但只要不是廣告留言都會通過審核。

這個網誌中的熱門文章

全家沖印、 7-11 列印照片誰好用?立可得與 ibon教學+比較表

Google Maps 我的地圖完全教學!規劃自助旅行攻略

Slack 完整教學與上手心得:找到正確的團隊溝通之道

Google NotebookLM 免費中文 AI 筆記實例教學,老師、學生、創作者利器

畫張圖說得更清楚! Napkin 用 AI 幫你的簡報文章手繪視覺思考圖

Google 表單自動關閉回覆教學:時間人數到達就過期

會議記錄不麻煩!我常用兩個 Evernote AI 功能整理錄音、手寫筆記

Excalidraw 免費 AI 生成流程圖,一鍵畫出知識圖表、專案流程、寫作大綱

微軟 Bing AI 繪圖工具 Image Creator 免費開放,30秒輕鬆生成圖片

Miro 遠距工作開視覺會議的免費強大白板,專案圖解實例教學