La guía de Firefox NoScript que todos estaban esperando

Actualizar: Hemos publicado un nuevo Guía NoScript para Firefox 57 y versiones posteriores.

Una de las razones principales por las que estoy usando el navegador web Firefox en mi PC de escritorio y no en otro navegador es que la extensión NoScript solo está disponible para ese navegador.



NoScript hace lo que su nombre indica, bloquea la ejecución automática de scripts en la mayoría de los sitios web. Esto aumenta la seguridad de manera significativa, ya que la mayoría de los ataques que se ejecutan en sitios web requieren que los scripts sean efectivos. También mejorará los tiempos de carga de la página en promedio, ya que se necesita cargar menos contenido cuando NoScript está habilitado.

La desventaja aquí es que la funcionalidad del sitio también puede no funcionar correctamente en sitios seleccionados. Dado que los scripts están bloqueados de forma predeterminada, es posible que un sitio simplemente no funcione en absoluto, o solo parcialmente con NoScript instalado.

Sin embargo, la extensión ofrece controles para resolver esos problemas, ya que puede permitir que los scripts se ejecuten de forma temporal o permanente en los sitios.

Otro problema es que los scripts están bloqueados a nivel de dominio. La mayoría de los sitios web cargan scripts de varias fuentes. Primero desde su propio dominio, pero también desde servidores de terceros, por ejemplo, para mostrar anuncios, usar scripts de seguimiento o hacer uso de una versión alojada de jquery.

A menudo es difícil saber qué scripts son necesarios para la funcionalidad principal de un sitio y cuáles no. Esto es especialmente cierto para los usuarios de Internet que tienen poca experiencia en lo que respecta a dominios, tecnologías de sitios web y scripts.

La configuración de NoScript

La experiencia de NoScript lista para usar es bastante buena. Puede usarlo sin modificaciones, pero si desea aprovechar al máximo el complemento, es posible que desee revisar las opciones al menos una vez para asegurarse de que todo esté configurado de manera óptima.

Como mencioné anteriormente, NoScript bloquea los scripts en la mayoría de los sitios web de forma predeterminada. La extensión se envía con una lista blanca de dominios, lo que significa que los sitios que encuentre aquí pueden ejecutar scripts que alojan en su propio dominio.

Punta lateral: NoScript distingue entre dominios raíz y subdominios. La extensión maneja dominios como addons.mozilla.org y mozilla.org como dominios diferentes.

Entre la lista de dominios que están en la lista blanca se encuentran addons.mozilla.org, google.com, googleapis.com, live.com, hotmail.com, outlook.com o paypal.com.

Puede eliminar cualquiera de los sitios de la lista blanca en Lista blanca en las opciones de NoScript.

noscript whitelist

Mi sugerencia sería eliminar los dominios que no desea que se enumeren aquí. Sin embargo, recomiendo dejar las páginas internas de Firefox en la lista, ya que de lo contrario se encontrará con problemas.



Aquí también puede importar o exportar la selección, lo que es útil si usa Firefox en varios dispositivos y desea usar la misma lista blanca.

El segundo cambio de configuración que quizás desee hacer se refiere al icono de NoScript. Es posible que desee colocarlo en una ubicación a la que pueda acceder fácilmente.

He colocado el mío en la barra de complementos, pero con la eliminación de la barra en Firefox Australis (la versión 29 es el objetivo) también puede colocarlo en la barra de herramientas principal del navegador.

Otra opción que tienes es usar el menú contextual exclusivamente para eso. NoScript agrega una entrada al menú contextual del botón derecho del mouse de Firefox que puede usar para permitir o no permitir sitios, o para abrir las opciones y otras características de la extensión.

Si usa el ícono, puede hacer uso de un par de funciones inteligentes que el desarrollador ha incorporado en la extensión. Para permitir todos los scripts en el sitio actual, haga clic con el botón central en el icono. Además, puede habilitar una palanca de clic izquierdo para permitir o bloquear el sitio de nivel superior en General en las opciones.

Es posible que observe que se muestra un mensaje sobre scripts bloqueados en la pantalla en una notificación. Esto puede ser útil si usa el menú contextual exclusivamente, pero si usa un ícono, este también está resaltado por el ícono mismo.

Prefiero eliminar la notificación porque bloquea parte de la pantalla sin decirme nada que no sepa.

Puede desactivar la notificación en la pestaña de notificaciones en las opciones.

noscript notifications

En lugar de mostrar un mensaje, también puede habilitar la retroalimentación de audio. No le recomiendo que lo haga, especialmente si carga muchos sitios durante una sesión de navegación.



Volviendo a la lista de sitios que muestra NoScript cuando hace clic con el botón izquierdo o con el botón derecho en el icono.

noscript permissions

El menú resalta todos los scripts que el sitio intenta ejecutar. El dominio raíz siempre aparece en la parte inferior de la lista, mientras que todos los demás dominios aparecen en la parte superior.



Propina: Para garantizar la funcionalidad completa de un sitio, generalmente es suficiente permitir el dominio raíz. Le recomiendo que primero cargue los sitios sin incluirlos en la lista blanca para ver si funciona de inmediato o no. Si no es así, probablemente se deba a un script que debe cargarse. Hay excepciones a la regla. Puede encontrar que algunos sitios utilizan redes de distribución de contenido, p. Ej. cdn.ghacks.net que también debe permitir, y que algunos sitios cargan bibliotecas de sitios de terceros como jquery.

Como he mencionado en mi 6 guía de consejos de NoScript, puede hacer clic con el botón central en cualquier dominio aquí para ejecutar una verificación de seguridad en él. Cuando hace clic con el botón central, se le dirige a una página del sitio web de NoScript que enlaza con varios servicios de seguridad de sitios populares, como Web of Trust, McAfee Site Advisor o hpHost.

Úselos para verificar un dominio del que no sabe nada antes de permitirlo. Una alternativa a eso es verificar manualmente un dominio en Virustotal.

Propina: Haga clic con el botón derecho en cualquier nombre de dominio para copiarlo en el portapapeles.

Cavar más profundo

Profundicemos un poco más. NoScript ofrece más que solo bloqueo de scripts. También se puede utilizar para manejar contenidos incrustados.

Si bien esos contenidos están bloqueados de forma predeterminada para los sitios que no están en la lista blanca, no lo son para los sitios que haya incluido de forma temporal o permanente.

Esto significa que los contenidos como Java, Flash, Silverlight u otros complementos se cargan en los sitios de la lista blanca de forma predeterminada. Si no desea que eso suceda, debe realizar el siguiente cambio de configuración en Opciones de NoScript> Embeddings.

whitelisted sites

A continuación, se muestra un ejemplo en el que esto puede resultar útil. Supongamos que necesita incluir un sitio en la lista blanca para hacer uso de todas sus funciones. Al hacerlo, es posible que, sin darse cuenta, también le permita reproducir anuncios Flash, videos u otros contenidos que requieran el uso de complementos.



Si bien puede tener sentido permitir que estos contenidos se reproduzcan en sitios de la lista blanca como YouTube, mientras visita el sitio en busca de videos, mejora la seguridad y la privacidad si aplica estas restricciones a los sitios de la lista blanca.

Sin embargo, significa más clics para habilitar esos contenidos, pero es una compensación.

Si habilita esa función, recibirá un mensaje de confirmación cada vez que haga clic en contenido bloqueado. Puede desactivar eso desactivando 'Solicitar confirmación antes de desbloquear temporalmente un objeto'.

Nota: puede configurar los elementos prohibidos en la misma página. Por lo tanto, es teóricamente posible permitir algunos de los contenidos y no permitir otros. Una opción posible es permitir Flash y no permitir todos los demás contenidos.

Opciones avanzadas

Las opciones avanzadas pueden parecer aterradoras al principio, ya que encontrará muchos términos técnicos como XSLT, XSS, ABE o incluso ping, mencionados aquí.

En términos generales, es mejor dejar esas opciones solo a menos que requiera características específicas.

Una característica que puede ser de interés aquí es el manejo de cookies seguras. Puede configurar NoScript para forzar el cifrado de cookies configuradas a través de HTTPS para sitios seleccionados.

Algunos servicios web establecen cookies a través de una conexión segura, pero no marcan esas cookies como seguras. El resultado es que se permiten las solicitudes de esa cookie del mismo dominio incluso si provienen de páginas que no son HTTPS.

Sin embargo, es posible que tenga problemas en algunos sitios, por lo que es posible que ya no pueda iniciar sesión en esos sitios o que se cierre la sesión automáticamente cuando cambie de página.

Puede encontrar información sobre esos problemas abriendo la Consola web de Firefox usando el atajo Ctrl-Shift-i. Utilice la información para agregar excepciones a la regla.

Otras características que quizás desee examinar más de cerca son las opciones para prohibir los marcadores en sitios que no son de confianza, permitir enlaces locales para sitios de confianza o no permitir el intento de corregir enlaces de JavaScript.

Otras lecturas

Probablemente la mejor ubicación para obtener información adicional sobre NoScript son las preguntas frecuentes que mantiene el autor. Aquí se explican varios de los términos tecnológicos, y también hay una sección de consejos y trucos que puede resultarle útil.

Las preguntas se basan en el foro oficial que es muy frecuentado.