La plupart des sites Web utilisent Javascript, un puissant langage de script qui permet de rendre les sites interactifs. Malheureusement, un pourcentage énorme d’attaques basées sur le Web utilisent des astuces JavaScript pour imposer des logiciels malveillants et des exploits aux visiteurs du site. Pour vous protéger, il est extrêmement important de disposer d’une méthode simple pour sélectionner les sites autorisés à exécuter JavaScript dans le navigateur.
Il est vrai que l’autorisation sélective de JavaScript sur des sites connus et « sûrs » ne bloquera pas toutes les attaques de scripts malveillants : même les sites légitimes finissent parfois par exécuter du code malveillant lorsque les escrocs trouvent des moyens d’introduire en douce des publicités frauduleuses dans les principaux réseaux publicitaires en ligne. Mais interdire JavaScript par défaut et l’activer de manière sélective pour des sites spécifiques reste une option beaucoup plus sûre que de laisser tous les sites exécuter JavaScript sans restriction tout le temps.
Firefox a de nombreuses extensions et add-ons qui rendent la navigation sur le Web plus sûre. Une extension que j’ai trouvé indispensable est Aucun script. Cette extension permet à l’utilisateur de décider quels sites doivent être autorisés à exécuter JavaScript, y compris Lecteur Flash contenu. Les utilisateurs peuvent choisir d’autoriser des exceptions spécifiques de manière permanente ou pour une seule session de navigation.
L’extension NoScript permet de placer ou de supprimer facilement ces restrictions site par site, mais un utilisateur novice peut avoir besoin d’un peu de pratique pour s’habituer à le faire en douceur. Par exemple, il n’est pas rare, lorsque vous faites des achats en ligne, de tomber sur un site qui ne vous permet pas de soumettre des données sans autoriser pleinement JavaScript. Ensuite, lorsque vous activez les scripts pour pouvoir soumettre votre adresse et vos informations de paiement, la page se rechargera et effacera souvent toutes les données de formulaire que vous avez déjà fournies, vous obligeant à recommencer. En outre, de nombreux sites hébergent du contenu provenant de plusieurs sites tiers, et les utilisateurs qui préfèrent activer les scripts de manière sélective peuvent trouver difficile de découvrir quels scripts doivent être activés pour que le site fonctionne correctement.
Chrome inclut également une fonctionnalité similaire de blocage de scripts et de Flash qui semble conçue pour minimiser certains de ces défis en offrant moins d’options. Si vous dites à Chrome de bloquer JavaScript sur tous les sites par défaut, lorsque vous naviguez sur un site qui utilise JavaScript, le coin supérieur droit du navigateur affiche une boîte barrée d’un « X » rouge. Si vous cliquez dessus et sélectionnez « Toujours autoriser JavaScript sur [site name]” il activera définitivement JavaScript pour ce site, mais il ne vous donne pas la possibilité de bloquer le contenu JavaScript tiers sur le site comme le fait Noscript. Lors de mes tests, j’ai dû actualiser manuellement la page avant que Chrome n’autorise les scripts sur un site que je venais de mettre sur liste blanche.
Pour limiter les scripts dans Chrome, cliquez sur l’icône en forme de clé dans le coin supérieur droit du navigateur. Sous « Options », sélectionnez « Sous le capot ». Cliquez sur le bouton « Paramètres de contenu » en haut. Sous JavaScript, sélectionnez le bouton : « Interdire à tous les sites d’exécuter JavaScript ».
Internet Explorer 9lequel Microsoft sorti plus tôt cette année, est de loin la version la plus rapide et la plus avancée d’IE (elle rivalise avec Chrome en termes de vitesse de chargement des pages Web). IE9 inclut également de nouvelles fonctionnalités de sécurité, telles que protection améliorée de la mémoire et de Microsoft Moteur de réputation des applications SmartScreenconçu pour alerter les utilisateurs lorsqu’ils essaient de télécharger des fichiers à partir d’emplacements sur le Web avec un historique inconnu ou douteux.
Mais j’ai eu du mal à croire que cette nouvelle version d’IE ne donne toujours pas beaucoup de choix à l’utilisateur dans la gestion de JavaScript. Dans IE9, vous pouvez choisir parmi JavaScript activé, désactivé ou vous invitant à charger JavaScript. Désactiver JavaScript n’est pas vraiment une option, mais le laisser complètement ouvert n’est pas sûr. Choisir l’option « Invite » ne fait que servir des invites contextuelles incessantes pour autoriser ou interdire les scripts (voir la vidéo ci-dessous).
J’aime la simplicité et la rapidité de Chrome, mais je préfère Firefox car il offre le plus d’options pour gérer JavaScript. Mais, quel que soit le navigateur que vous utilisez, sachez que l’exécution de JavaScript peut être le point d’entrée de logiciels malveillants intrusifs et infectieux. Soyez prudent avant de décider de l’autoriser sur n’importe quel site que vous visitez.