Noscript Security Suite (NSS) एक शानदार, शानदार टूल है। यह फ़ायरफ़ॉक्स और विभिन्न क्रोमियम-आधारित ब्राउज़रों के लिए एक विस्तार के रूप में आता है, और यह जो करता है वह बेकार, शोर तथाकथित "आधुनिक" इंटरनेट को शांति के एक पूल में बदल देता है। और यह वेब पेजों पर स्क्रिप्ट और अन्य तत्वों को ब्लॉक करके ऐसा करता है। सुंदर, शिष्ट। आप एक तेज़, शांत अनुभव के साथ समाप्त होते हैं। कोई झिझक नहीं, कोई उपरि नहीं। जब आपको स्क्रिप्टिंग की आवश्यकता होती है, तो आप इसे चुनिंदा रूप से सक्षम करते हैं। बढ़िया काम करता है, लेकिन तभी जब आप तकनीकी विशेषज्ञ हों।
दुर्भाग्य से, आम लोगों के लिए उर्फ नर्ड नहीं, यह कोई समाधान नहीं है। उन्हें प्रति-साइट अनुमतियों से परेशान नहीं किया जा सकता है, यह पता लगाना कि स्क्रिप्ट नहीं चलने पर कुछ टूट गया है या इसी तरह। लेकिन फिर, क्या होगा यदि आप गैर-प्रतिबंधित ब्राउज़िंग के सभी लचीलेपन को प्राप्त करना चाहते हैं लेकिन फिर भी नोस्क्रिप्ट की कुछ महान शक्तियों का उपयोग करते हैं? खैर, मुझे लगता है कि मेरे पास सूत्र हो सकता है। मेरे पीछे आओ।
लेकिन सभी को अनुमति दें
आम तौर पर, नोस्क्रिप्ट एक डिफ़ॉल्ट-अस्वीकार उपकरण है। आप केवल उन विशिष्ट डोमेन को श्वेतसूचीबद्ध करते हैं जिन पर आप भरोसा करते हैं - और फिर भी, आप इसे अस्थायी रूप से प्रति-सत्र कर सकते हैं। बढ़िया, लेकिन आपको कठोरता और अनुशासन की आवश्यकता है। डिफ़ॉल्ट-अनुमति देना सही समाधान नहीं है, या तो, क्योंकि तब, आपको वास्तव में नोस्क्रिप्ट की आवश्यकता नहीं है। लेकिन यहीं पर यह विस्तार चमकता है।
स्क्रिप्टिंग के साथ डिफ़ॉल्ट
जैसा कि मैंने नोस्क्रिप्ट पर अपने दो गाइडों में रेखांकित किया है, अनुमतियों के तीन स्तर हैं - डिफ़ॉल्ट, विश्वसनीय और अविश्वसनीय। पहला ब्लॉक स्क्रिप्ट करता है लेकिन कुछ अन्य वेब तत्वों (जैसे चित्र, मीडिया, आदि) को अनुमति देता है। ट्रस्टेड मैंडेट स्क्रिप्टिंग और (वैकल्पिक रूप से) बाकी सब कुछ की अनुमति देता है। अविश्वसनीय सब कुछ ब्लॉक कर देता है। विश्वसनीय + अविश्वसनीय एक साथ अच्छी तरह से काम करते हैं - भले ही आप अस्थायी रूप से सभी (ट्रस्ट) को एक पृष्ठ पर अनुमति दें, फिर भी अविश्वसनीय डोमेन अवरुद्ध रहेंगे। तो आपको कुछ सुरक्षा और सुविधा जरूर मिलती है। हम आम लोगों के लिए इस सिद्धांत में बदलाव कर सकते हैं!
दैनिक ब्राउज़िंग के लिए कई सामान्य, आवश्यक तत्वों को अनुमति देने के लिए डिफ़ॉल्ट क्षेत्र सेट करें। आम तौर पर, इसमें स्क्रिप्ट, ऑब्जेक्ट, मीडिया और फ़्रेम शामिल होते हैं। वास्तव में अन्य तत्व वैकल्पिक हैं। संक्षेप में, इसका उपयोग नीचे आता है:
- WebGL - यदि आप WebGL को अनुमति नहीं देना चाहते हैं, तो आपके ब्राउज़र में हार्डवेयर-त्वरित 2D/3D ग्राफ़िक्स नहीं होंगे, और आप केवल सॉफ़्टवेयर रेंडरिंग पर निर्भर रहेंगे। नकारात्मक पक्ष यह है कि बैटरी चालित उपकरणों पर बैटरी का जीवन कम हो जाता है और कुछ मामलों में पेज रेंडरिंग कुछ धीमी हो जाती है। उल्टा यह है कि आप हार्डवेयर ग्राफ़िक्स स्टैक में किसी भी बग या समस्या के संपर्क में नहीं आएंगे। ज्यादातर मामलों में, WebGL का उपयोग करना ठीक है।
- फ़ॉन्ट्स - यह एक हॉट है, और मैंने इसके बारे में अतीत में विस्तार से बात की है। रिमोट फोंट समस्या पैदा कर सकते हैं, और वे नेट पर सुरक्षा नाटक का एक बड़ा स्रोत भी हैं। मुझे कई कारणों से रिमोट फोंट पसंद नहीं हैं, क्योंकि वेबसाइटों को पूर्ण समाधान होना चाहिए, और तीसरे पक्ष के स्रोतों से यादृच्छिक सामान लोड करना आलसी है। सुरक्षा और गोपनीयता निहितार्थ भी हैं, लेकिन - एक बार फिर - नोस्क्रिप्ट एक शानदार समाधान प्रदान करता है। फोंट ब्लॉक करने से पृष्ठ "बदसूरत" हो सकते हैं, लेकिन फिर, आपको यह भी देखने को मिलता है कि आधुनिक इंटरनेट वास्तव में कितना नाजुक और बुरी तरह से डिज़ाइन किया गया है। तो वहाँ।
- Fetch - मूल रूप से, इसका उपयोग अनुरोधों को प्रबंधित करने के लिए किया जाता है। आपको इसकी अनुमति देनी चाहिए, ताकि यह सुनिश्चित किया जा सके कि साइटें "सही ढंग से" प्रतिसाद करती हैं, जिसमें कोई रीडायरेक्ट, त्रुटियां और क्या नहीं शामिल हैं।
- पिंग - यह एक ऐसी चीज है जिसका अंतिम उपयोगकर्ताओं के लिए कोई मूल्य नहीं है, केवल सर्वर। यदि उपयोगकर्ता हाइपरलिंक का अनुसरण करता है तो पिंग विशेषता अधिसूचित किए जाने वाले URL की एक सूची निर्दिष्ट करती है। दूसरे शब्दों में, "आधुनिक" शब्दों में, यह बेकार, अर्थहीन ट्रैकिंग के लिए एक और सदिश हो सकता है। इसलिए आपको इसे सक्षम करने की आवश्यकता नहीं है।
- नोस्क्रिप्ट - जब स्क्रिप्ट अक्षम होती हैं, तो HTML पृष्ठ स्रोत में नोस्क्रिप्ट तत्वों में लपेटी गई सामग्री दिखाई जाएगी। चूंकि हम स्क्रिप्ट को अनुमति देना चाहते हैं, यह वास्तव में मायने नहीं रखता। फिर भी, इसकी अनुमति देने में कोई हर्ज नहीं है।
- अन्य - वह सब कुछ जो पृष्ठों में हो सकता है। क्यों नहीं। ठीक है।
इस कॉन्फ़िगरेशन के साथ, लोग वेबसाइटों को बिना किसी रुकावट के ब्राउज़ कर सकते हैं। सब कुछ डिफ़ॉल्ट रूप से काम करना चाहिए, और आपको किसी भी गंभीर समस्या का सामना नहीं करना चाहिए। लेकिन फिर भी, कुछ और चीज़ें हैं जो हम कर सकते हैं - और नोस्क्रिप्ट हमारे लिए कर सकता है।
XSS और अविश्वसनीय डोमेन
नोस्क्रिप्ट का एक और अच्छा फायदा यह है कि यह क्रॉस-साइट स्क्रिप्टिंग हमलों से बचाता है। ये क्या हैं, इसके लिए तकनीकी व्याख्या थोड़ी चिंताजनक है, लेकिन संक्षेप में, भले ही आप स्क्रिप्ट की अनुमति दें (किसी को नोस्क्रिप्ट का उपयोग करने का मुख्य कारण), फिर भी आप इसकी अन्य क्षमताओं से लाभान्वित होते हैं। तो आप इसमें शामिल हैं।
फिर, यदि आप कुछ डोमेन पर भरोसा नहीं करते हैं, जबकि आपका डिफ़ॉल्ट क्षेत्र काफी उदार और खुला होगा, तब भी आप परेशान करने वाली साइटों से छुटकारा पा सकते हैं, खासकर जब ये तीसरे पक्ष के डोमेन हैं जो केवल विज्ञापन या ट्रैकिंग के लिए उपयोग किए जाते हैं। किसी भी साइट पर, आप नोस्क्रिप्ट आइकन मेनू का विस्तार कर सकते हैं और फिर प्रत्येक डोमेन के लिए प्रासंगिक अनुमतियां सेट कर सकते हैं। आप कस्टम विकल्प का भी उपयोग कर सकते हैं।
उदाहरण के लिए, हो सकता है कि आप सभी फ़ॉन्ट्स को ब्लॉक करना चाहें, लेकिन उन्हें केवल पृष्ठों के एक विशिष्ट सेट पर ही अनुमति दें। उसी नोट पर, आप विशिष्ट डोमेन को हटाना चाह सकते हैं, इसलिए आपकी वेब गतिविधि को आसानी से ट्रैक नहीं किया जा सकता है और कई डोमेन से संबद्ध नहीं किया जा सकता है। ब्राउज़र इस समस्या को उन्नत/सख्त ब्राउज़िंग सुरक्षा, तृतीय-पक्ष कुकीज़ को कम करने या हटाने आदि के साथ हल करने का प्रयास कर रहे हैं, लेकिन आप समाधान को और भी मजबूत बनाने के लिए नोस्क्रिप्ट का उपयोग कर सकते हैं। आप इस एक्सटेंशन के उपयोग को एडब्लॉकिंग के साथ भी जोड़ सकते हैं, इसलिए भले ही आप अपनी सूची में कुछ डोमेन को याद करते हैं या भूल जाते हैं, एडब्लॉकिंग एक्सटेंशन आपके लिए वेब पेजों को साफ कर देगा, जब उनकी स्क्रिप्ट लोड होती है।
क्या यह काम करता है?
हाँ, बिलकुल ठीक। मैं काफी समय से Noscript और uBlock Origin साथ-साथ उपयोग कर रहा हूँ। वास्तव में, मैं सभी अलग-अलग क्रमपरिवर्तनों का परीक्षण कर रहा हूं - कुछ भी नहीं, एक या दूसरा, दोनों साथ-साथ, अलग-अलग ब्राउज़र सेटिंग्स। जैसा कि आश्चर्यजनक रूप से पता चला है, सबसे इष्टतम संयोजन नोस्क्रिप्ट + यूबीओ है, क्योंकि बाद वाले में वेब पेजों पर सभी प्रकार की परेशान करने वाली सुविधाओं को ब्लॉक और साफ करने की क्षमता भी है। केवल एक चीज जो ध्यान देने योग्य है - तीसरे पक्ष के फोंट लोड नहीं हो रहे हैं। अच्छा।
स्क्रिप्टिंग अक्षम होने पर, आपको खोज बॉक्स या कुकी ओवरले दिखाई नहीं देगा - लेकिन यहां वे दिखाई देते हैं।
हालांकि, आप कभी भी डोमेन की स्थिति बदल सकते हैं और पेज को फिर से लोड कर सकते हैं। और आप एक कस्टम ज़ोन भी कॉन्फ़िगर कर सकते हैं - अधिकांश पेजों के लिए फोंट अक्षम करें, लेकिन उन्हें अपने पसंदीदा डोमेन की एक छोटी, चुनिंदा संख्या के लिए अनुमति दें और जो आपके विश्वसनीय क्षेत्र का हिस्सा नहीं हैं। इस तरह, आपको केवल विशिष्ट पृष्ठों के लिए एक तत्व की अनुमति देने के लिए अन्य सेटिंग्स और सुरक्षा से समझौता नहीं करना पड़ता है।
यदि आप ऐसा करते हैं, तो आपको कुछ और अच्छी चीज़ें भी मिलेंगी, जैसे:
- आप देखेंगे कि उनकी "मूल" सामग्री के अलावा कितनी बेकार सामग्री साइटें लोड होती हैं।
- यदि आप उनकी कुछ तृतीय-पक्ष सामग्री (जैसे फ़ॉन्ट) को अक्षम करते हैं, तो आप देखेंगे कि कितनी साइटें कुत्ते की उल्टी जैसी दिखती हैं।
- आपको गति में वृद्धि भी दिखाई देगी - स्क्रिप्ट सक्षम होने पर भी - क्योंकि बहुत सारी बेकार सामग्री लोड नहीं होगी।
In combination with adblocking, you will save bandwidth, reduce noise, and improve your browsing performance. Win win win!
निष्कर्ष
So how do you setup Noscript for ordinary folks? Well, you create your own instance, tweak it - and then export the settings. When you help other people configure their browser, you can then import the settings. The basic idea is to allow scripts and a few other elements in the Default zone, which solves 99% of all problems with Noscript + non-techies. You can optionally make the setup even more elegant with creating your own trusted, untrusted and custom lists.
Is this foolproof? Of course not. No technology is. In between the broken-and-confusing Web experience that Noscript purposefully creates as part of its cleansing mission, and veteran nerds who know exactly what they're doing, it's still possible to make this extension useful for the common users. My testing is limited, but I believe the configuration I outlined above works well, provides extra security, improves privacy, and does not break the surfing. Have a go, throw this at your unsuspecting relatives, and share your findings. We're done.
चीयर्स।