Instalación y utilización de NoScript para evitar JavaScript y objetos malignos en Mozilla Firefox   Instalación y utilización de NoScript para evitar JavaScript y objetos malignos en Mozilla Firefox

 

Introducción.

En la actualidad, navegar por Internet más allá de las páginas que cada uno tenemos como habituales o conocidas, y en las cuales confiamos, supone siempre el riesgo de entrar en alguna página maligna y resultar infectado con programas spyware, adware o virus. Ya sea de forma automatizada, mediante la instalación de un complemento maligno en el navegador de Internet, por la ejecución completamente transparente de código de script maligno, o incluso porque el usuario descargue e instale engañado o de forma inadvertida un programa maligno, el riesgo siempre está ahí.

Los dos navegadores mayoritarios actuales, Microsoft Internet Explorer y Mozilla Firefox, permiten la instalación de complementos desde las páginas web que se visitan (no sin antes advertirnos de los riesgos, aunque parece que eso no sea suficiente en muchos casos...), permiten la ejecución de JavaScript e incluso VBScript en Internet Explorer (por defecto, sin ningún tipo de advertencia ni restricción, en este caso) y nos permiten la descarga de archivos ejecutables (comprobar ejecutables ya no es tarea del navegador, sino de un antivirus, por supuesto).

Todos los programas de protección, tales como antivirus o antispyware utilizan el enfoque de bloquear scripts o complementos que previamente han sido identificados como malignos. Este enfoque es bueno porque no requiere intervención por parte de los usuarios. Pero en ocasiones no es suficiente, porque los sitios con scripts o complementos malignos aparecen y cambian muy rápidamente. Ante esta situación, queda claro que el enfoque más seguro es bloquear todos los scripts y complementos de cualquier sitio web que el usuario no haya marcado previamente como conocido o fiable.

 

El objetivo de este documento es proteger a los usuarios del navegador Mozilla Firefox aplicando el enfoque mostrado en el párrafo anterior a los scripts y complementos. Esta solución es posible gracias a la extensión NoScript programada por Giorgio Maone.

Los usuarios de Microsoft Internet Explorer pueden llegar a una solución parecida (aunque no tan segura ni tan cómoda) gracias a la utilización de las Zonas de Seguridad. No obstante, sería muy interesante que un complemento como NoScript existiera también para Internet Explorer.

 

 

La extensión NoScript como solución al problema.

La solución propuesta para que Mozilla Firefox sea más seguro ante los scripts o complementos malignos consiste en instalar y configurar apropiadamente la extensión NoScript. De esta forma, sólo los scripts y complementos de sitios identificados como fiables por parte del usuario serán ejecutados. Cualquier script o complemento procedente de otros sitios web será bloqueado mientras que el usuario no indique lo contrario.

  • La ventaja de utilizar NoScript es la mayor seguridad: un sitio desconocido o en el que no hubiéramos entrado antes, no nos pillará desprevenidos si resulta ser maligno. NoScript bloquea los scripts o complementos de cualquier sitio web hasta que nosotros como usuarios indiquemos que confiamos en dicho sitio web y que consideramos segura la ejecución de los scripts o complementos de dicho sitio web.
  • El inconveniente es que al principio requiere intervención por parte del usuario: es necesario que el usuario indique manualmente que permite la ejecución de scripts y complementos de cada sitio web en el que confíe, la primera vez que lo visite. En las siguientes ocasiones, su decisión se recuerda y directamente se permiten los scripts y complementos del sitio concreto.

 

NoScript funciona en Firefox desde su versión 1.5, por lo que es posible instalar este complemento en Windows 98 y ME (utilizando Firefox 2.0.0.20) y en Windows 2000, XP, Vista o 7 (utilizando Firefox 3.6.x o superior). Aunque Firefox 2.0.0.20 ya tampoco tiene soporte ni actualizaciones por parte de Mozilla, se recomienda encarecidamente a los usuarios de Windows 98 y ME que utilicen Firefox junto con NoScript, en lugar de las versiones mucho más antiguas de Internet Explorer 5.x o 6.0.

A continuación se explicará paso a paso como instalar, configurar y utilizar la extensión NoScript en Firefox.

 

 

PARTE 1: Instalación de NoScript.

Las siguientes instrucciones indican paso a paso como instalar NoScript en el navegador Mozilla Firefox. Si tenemos varias cuentas de usuario en Windows, debemos repetir esta parte de las instrucciones en cada una de las cuentas de usuario.

  1. Iniciamos el navegador Mozilla Firefox, y nos dirigimos a la opción del menú Herramientas -> Complementos.
  2. En la ventana Complementos, cambiamos a la sección Obtener complementos pulsando el icono en la parte superior. A continuación en el campo de búsqueda tecleamos noscript y pulsamos el pequeño icono de la lupa.

    Sección Obtener complementos de la ventana de Complementos de Firefox

  3. Cuando en la parte inferior de la ventana se muestre la descripción de la extensión NoScript, la seleccionamos y pulsamos el botón Añadir a Firefox.

    Sección Obtener complementos de la ventana de Complementos de Firefox mostrando la descripción de la extensión NoScript

  4. Seguidamente se mostrará una ventana de advertencia indicándonos los riesgos de instalar complementos. Como en este caso concreto sabemos que la extensión NoScript es benigna y fiable, pulsamos el botón Instalar ahora. La descarga de NoScript empezará.
  5. Una vez que la descarga de la extensión NoScript haya concluido, pulsamos el botón Reiniciar Firefox.

    Sección Instalación de la ventana de Complementos de Firefox mostrando la instalación de NoScript

 

PARTE 2: Configuración de NoScript.

Las siguientes instrucciones indican paso a paso como establecer la configuración de la extensión NoScript que acabamos de instalar en nuestro navegador Mozilla Firefox. Esto sólo es necesario hacerlo una vez por cada cuenta de usuario de Windows. No será necesario las siguientes veces que utilicemos Firefox ni tampoco tras recibir una actualización de NoScript.

  1. Si tras reiniciar Firefox, no se abre automáticamente la ventana de Complementos mostrándonos que acaba de instalarse el nuevo complemento, la abrimos manualmente mediante la opción del menú Herramientas -> Complementos y pulsamos el botón Opciones de la extensión NoScript.

    Sección Extensiones de la ventana de Complementos de Firefox mostrando que acaba de instalarse NoScript

  2. En la ventana Configuración de NoScript nos encontramos en la pestaña General. Establecemos la configuración según se muestra en la imagen siguiente:

    Pestaña General de la ventana Configuración de NoScript mostrando la configuración recomendada

  3. A continuación cambiamos a la pestaña Lista blanca. En esta página se encuentra la lista de sitios web a los cuales se permite ejecutar scripts y complementos. Podemos eliminar un sitio concreto (haciendo que ya no se permitan los scripts o complementos de ese sitio) seleccionándolo en la lista y pulsando el botón Eliminar sitio(s) web seleccionado(s). Aunque también podemos añadir ahora sitios permitidos escribiendo su dirección en el campo Dirección de la página web y pulsando el botón Permitir, veremos que esto no es necesario y que podremos añadir los sitios permitidos mucho más fácilmente la primera vez que los visitemos.
  4. Seguidamente cambiamos a la pestaña Plugins, en la que se muestra los complementos que serán bloqueados en los sitios web no fiables, es decir, cualquier sitio desconocido excepto aquellos que hayamos indicado como fiables al visitarlos, y además aquellos que hayamos indicado específicamente como no fiables. Más adelante veremos como indicar si un sitio web es para nosotros fiable o no fiable. Ahora, establecemos la configuración según se muestra en la imagen siguiente:

    Pestaña Plugins de la ventana Configuración de NoScript mostrando la configuración recomendada

  5. A continuación cambiamos a la pestaña Presentación, en la que podemos elegir las opciones que nos ofrecerá NoScript al visitar una página, de forma que podamos indicar que es fiable o no fiable. Más adelante veremos como indicar si un sitio web es para nosotros fiable o no fiable. Ahora, establecemos la configuración según se muestra en la imagen siguiente:

    Pestaña Presentación de la ventana Configuración de NoScript mostrando la configuración recomendada

  6. Seguidamente cambiamos a la pestaña Notificaciones. Establecemos la configuración según se muestra en la imagen siguiente:

    Pestaña Notificaciones de la ventana Configuración de NoScript mostrando la configuración recomendada

  7. Por último cambiamos a la pestaña Avanzado y dentro de ésta a la pestaña No fiable. Establecemos la configuración según se muestra en la imagen siguiente. En las otras pestañas no es necesario hacer ningún cambio respecto a la configuración por defecto.

    Pestaña Avanzado de la ventana Configuración de NoScript mostrando la configuración recomendada

  8. Finalmente, cerramos la ventana Configuración de NoScript pulsando el botón Aceptar y cerramos la ventana de Complementos de Firefox.

 

PARTE 3: Utilización de NoScript durante el uso habitual de Firefox.

El complemento NoScript se encuentra instalado y configurado apropiadamente. Por tanto, podemos ya continuar utilizando Firefox como lo hacíamos habitualmente y accediendo a los sitios web que queramos. Tan solo es necesario tener en cuenta lo siguiente:

  • Cuando accedamos a un sitio web que contiene scripts o complementos, veremos que la parte inferior de Firefox aparece una pequeña barra que nos indica que NoScript ha bloqueado scripts o complementos del sitio web.

    Barra de NoScript mostrando que ha bloqueado scripts del sitio que estamos visitando

    En la mayoría de ocasiones, no será necesario hacer nada. La presencia de esta barra será meramente informativa.

  • Tras mostrarse la mencionada barra, podría ocurrir que notemos que alguna parte del sitio web que estamos visitando no funciona. Por ejemplo, que no funciona el envío de un formulario o mensaje en un foro, no funciona un menú que debería permitirnos elegir entre varias opciones o no funciona el introducir un nombre de usuario y contraseña. En ese caso, y siempre y cuando consideremos que el sitio web que estamos visitando es de confianza, debemos pulsar el botón Opciones de la barra de NoScript.

    Se mostrará un menú con diversas opciones que podemos escoger para permitir los scripts y complementos provenientes de los sitios web que se están utilizando para mostrar la página en la que nos encontramos actualmente. Habitualmente sólo tendremos que escoger la opción Permitir [sitio], siendo [sitio] el sitio web que estamos visitando, como se ve en la imagen.

    Menú de opciones de NoScript en el que se elige la opción de permitir el sitio que estamos visitando

  • En otras ocasiones menos habituales, puede que elegir que se permitan los scripts y complementos del sitio web que estamos visitando, no sea suficiente y la página web aún no funcione correctamente. Esto ocurre cuando una página contiene scripts o complementos que proceden de diversos sitios web con direcciones distintas.

    En estos casos, en el menú de opciones de NoScript se mostrarán sitios web adicionales al que estamos visitando. Una vez más, tan solo tendremos que escoger la opción Permitir [sitio], siendo [sitio] el sitio web adicional necesario para que la página que estamos visitando funcione correctamente. Normalmente podremos averiguar cual es el sitio adicional necesario por su nombre o relación con el sitio original. Por ejemplo, al acceder a nuestro correo de Hotmail, no sólo necesitamos permitir scripts de live.com, sino también de hotmail.com o passport.com.

    Pero puede ocurrir que no seamos capaces de identificar fácilmente los sitios adicionales necesarios. En estos casos, en lugar de escoger Permitir [sitio] para un sitio desconocido o que no nos suene, NoScript nos permite probar: Para ello, escogeremos la opción Permitir temporalmente [sitio] y comprobaremos si la página web ahora funciona correctamente. Si funciona bien, volveremos a pulsar el botón Opciones y escogeremos Hacer permanentes los permisos de la página. Si aún no funciona bien, podemos escoger Revocar permisos temporales para quitar el permiso temporal al sitio adicional que estábamos probando, o si hubiera varios sitios adicionales posibles, permitir temporalmente un segundo sitio adicional. Así probaremos todas las combinaciones posibles hasta que la página que estamos visitando funcione correctamente, momento en el que escogeremos Hacer permanentes los permisos de la página

  • Por último, también puede darse el caso de que queramos permitir los scripts y complementos de la página que estamos visitando (para la cual ya hemos escogido la opción Permitir [sitio] como se indica en los puntos anteriores), pero que específicamente queremos indicar que no confiamos en los scripts o complementos de un sitio web adicional utilizado en la página que estamos visitando. Esto ocurre frecuentemente, por ejemplo, con la publicidad que se muestra en una página web que sí consideramos fiable. En este caso, pulsamos el botón Opciones en la barra de NoScript, escogemos el submenú No fiable y finalmente escogemos la opción Marcar [sitio] como no fiable siendo [sitio] el sitio adicional en el que no confiamos. Por ejemplo, del que proviene la publicidad de la página que estamos visitando.

    Menú de opciones de NoScript en el que se elige la opción de marcar un sitio de publicidad como no fiable

 

Esto es todo lo que necesitamos habitualmente. Los primeros días tras la instalación de NoScript, debemos ser pacientes hasta haber visitado por primera vez y permitido los scripts de los sitios web que consideremos fiables, así como marcado aquellos sitios adicionales que consideremos no fiables. Tras unos días, todos nuestros sitios habituales habrán sido identificados y nuestra navegación volverá a ser igual de cómoda que antes... salvo porque ahora será más segura ante los peligros de sitios web desconocidos a los que pudiéramos entrar inadvertidamente.

 

 

Conclusiones.

Es indudable que Firefox es ahora más seguro gracias a la utilización de NoScript. Disponemos de un mecanismo que nos defiende de las vulnerabilidades del navegador, conocidas o desconocidas, que pudiera ser causadas por scripts o por complementos presentes en una página maligna. Y no sólo en páginas malignas previamente identificadas, como sucede con los mecanismos de defensa de programas antivirus, antispyware o de los filtros presentes en los propios navegadores. NoScript nos protege de páginas malignas nuevas y desconocidas. Esto nos evitará más de un susto, sobre todo actualmente que existen y aparecen tantos sitios web indeseables que intentan instalar virus y programas spyware en los equipos de los usuarios que tengan la mala suerte de acceder a ellos.

No obstante, el disponer de mayor seguridad nos hace pagar un precio, cobrado de la comodidad de simplemente acceder por primera vez a una página web fiable y conocida y que ésta se muestre y funcione como estaba previsto, sin tener que indicar que de esa página sí nos fiamos. Pero seguramente, todo aquel que haya visto su ordenador invadido por el spyware o la publicidad deshonesta, estará de acuerdo en renunciar mínimamente a la comodidad para así disponer de seguridad.

Por último, es de obligación agradecer a Giorgio Maone, autor de la extensión NoScript, el que podamos disponer de esta utilidad aparentemente tan sencilla de cara al usuario, pero a la vez tan brillante. (Ojalá existiera un plugin igual para Microsoft Internet Explorer.)

Sitio web del complemento NoScript   Ir al sitio web de NoScript

 

Descargar Documento   Descargar este documento
Página principal   Regresar a la página principal