Geckozone

Liberté d'extension

Aller au contenu

NoScript

Installer NoScript depuis Mozilla Update

Description

Permet de désactiver le Javascript globalement et de ne l'activer qu'au coup par coup uniquement pour les domaines de confiance de votre choix (p.ex le site de votre banque). Ce blocage préventif basé sur une liste blanche accroit fortement la sécurité, et empêche l'exploitation de failles de sécurité (connues et inconnues).

Vous pouvez également autoriser le javascript globalement et ne l'interdire que quand vous en ressentez le besoin, mais la sécurité est alors fortement diminuée.

« Protection supplémentaire pour votre Firefox : NoScript ne permet l'exécution de scripts JavaScript que sur les domaines de confiance de votre choix (p.ex. le site de votre banque). Ce système de blocage préventif de scripts basé sur une liste blanche empêche l'exploitation de failles de sécurité (connues et même inconnues) sans perte de fonctionnalités... Les experts en conviendront : Firefox est réellement plus sûr avec NoScript :-) »

Captures d'écrans

 
Barre d'état de Firefox avec le menu contextuel de NoScript ouvert et ses options pour autoriser un site

Par défaut, les sites ne sont pas autorisés à exécuter du
Javascript et c'est à vous de les autoriser un par un.
Vous pouvez choisir d'autoriser tout le domaine ou
uniquement le sous-domaine dans lequel vous vous trouvez.

Barre d'état de Firefox avec le menu contextuel de NoScript ouvert et ses options pour interdire un site

Lorsque vous êtes sur un site autorisé,
le contexte se modifie et vous pouvez l'interdire.

 
La fenêtre des options de NoScript

La fenêtre des options de NoScript permet de gérer individuellement
les autorisations des sites et de modifier certaines options.

 

Utilisation

L'utilisation de NoScript est très simple. Lorsque vous l'installez, Javascript et Java (et potentiellement d'autres contenus exécutables) sont bloqués par défaut. Vous pourrez autoriser l'exécution de Javascript/Java/… (nous appellerons tout cela scripts à partir de maintenant) de manière sélective sur les sites en lesquels vous avez confiance.

Notez que vous ne devriez pas désactiver Javascript dans Firefox, c'est-à-dire que la case Activer JavaScript dans Outils > Options (ou Édition > Préférences ou Firefox > Préférences) > Contenu devrait être cochée, (Javascript activé) sans quoi le javascript sera bloqué partout, même si autorisé par NoScript.

Lorsque vous visitez un site avec des scripts bloqués, un bref son est joué et une notification, similaire à celle du blocage des popups, apparaît. Tout cela est bien entendu réglable dans les options de NoScript).
Regardez dans la barre d'état pour connaitre les permissions actuelles de NoScript :

Le nombre de balises <script> détectées dans la page est affiché dans une infobulle lorsque vous survolez l'ione avec votre souris. Si le "S" de l'icône est blanche plutôt que bleue ( (Interdit - pas de scripts actifs Partiellement autorisé - pas de scripts actifs Autorisé - pas de scripts actifs Globalement autorisé - pas de scripts actifs), cela signifie qu'aucun script n'a été détecté. Cela signifie probablement que vous n'avez pas du tout besoin d'activer Javascript sur cette page.

Vous pouvez changer les permissions pour les scripts en faisant un clic avec le bouton gauche de la souris sur l'icône de NoScript, ce qui fera apparaître un menu. Vous pouvez obtenir le même menu en faisant un clic droit sur la page, de cette manière vous pouvez y avoir accès également dans les fenêtres dépourvues de barre d'état (cependant, il serait peut-être plus adéquat d'empêcher les sites de cacher votre barre d'état en allant dans les options de Firefox, onglet Contenu et en décochant Cacher la barre d'état dans les options avancées de javascript). Bien entendu, si vous n'aimez pas le menu contextuel ou si le votre est déjà bien rempli, vous pouvez désactiver cela.

Un bouton pour la barre d'outils est aussi fourni. Faites un clic droit sur votre bare d'outils, sélectionnez Personnaliser… et faites-le glisser où vous le voulez. En cliquant sur ce bouton, vous allez autoriser/interdire les script pour le site affiché dans votre barre d'adresse. Le menu normal de NoScript s'affiche si vous cliquez sur la petite flèche à côté de ce bouton.

Pour finir, le dernier point, et pas le moindre, vous disposez d'une fenêtre de configuration pour autoriser ou interdire plusieurs sites d'un coup, personnaliser l'interface et décider si vous voulez ou non recharger automatiquement le site en cours lorsque vous changez les permissions (pour toutes les pages ouvertes du site).

Sélection des sites

Pour chaque site vous pouvez décider d'autoriser l'adresse exacte, le domaine exact ou un domaine parent. Si vous activez un domaine (par exemple geckozone.org), vous autorisez implicitement tous ses sous-domaines (extensions.geckozone.org, etc.) pour tous les protocoles possibles (http et https).

Si vous activez une adresse (protocole://hote, p.ex. http://www.geckozone.org), vous activez tous les sous-répertoires (http://www.geckozone.org/forum), mais ni les domaines parents ni les domaines frères (http://geckozone.org ou http://extensions.geckozone.org) ne seront autorisés automatiquement.

Par défaut, seul les domaines de second niveau sont affichés dans le menu (geckozone.org), mais vous pouvez configurer NoScript pour afficher également les domaines et adresses complets.

FAQ

Une FAQ complète est disponible sur le site officiel.

Général

Logo de NoScript : un S bleu personnifié enfermé dans un sens interdit rouge
Que c'est étrange, un diable bleu comme logo pour NoScript ?
C'est Jesse, le ver Javascript, une menace extra-dimensionnelle piégée par NoScript.
Est-ce que GreaseMonkey fonctionne avec NoScript ?
Oui, les scripts utilisateur de GreaseMonkey fonctionneront mais seulement sur les pages où le Javascript est autorisé.
Est-ce que FlashBlock fonctionne avec NoScript ?
Comme GreaseMonkey, FlashBlock fonctionnera seulement sur les pages où Javascript est autorisé. Évidemment, il sera plus utile de bloquer le flash sur les sites en lesquels vous n'avez pas confiance. C'est pourquoi je vous conseille d'utiliser Adblock pour bloquer les animations flash et les autres désagréments (voir question suivante).
Est-ce que Adblock fonctionne avec NoScript ?
Oui, Adblock fonctionne partout avec NoScript, quelles que soient les permissions. Il bloque les animations flash, les images, les scripts, les sous-cadres et d'autres désagréments. Probablement le meilleur compagnon de NoScript pour une navigation sûre et propre !
Pourquoi ne puis-je pas interdire certains sites (googlesyndication.com flashgot.net maone.net informaction.com noscript.net) ?
Depuis la version 1.0.3, la liste blanche des sites par défaut contient quelques sites qui ne peuvent être désactivés depuis les options (vous les voyez grisés). Ce sont les sites de l'auteur et le domaine de publicités Google (googlesyndication.com), et ils ont été rendus permanents pour éviter une suppression accidentelle. Pourquoi ? Les clics sur les publicités Google ne sont pas considérés comme valides si le Javascript n'est pas activé, et le site source peut être banni du programme si Google détecte une importante quantité de clics "frauduleux". NoScript est totalement gratuit : son développement est soutenu uniquement par des donations spontanées et les publicités Google. Néanmoins, si vous avez besoin de supprimer mes sites et ceux de Google de la liste blanche, vous pouvez les supprimer en ouvrant about:config (à entrer dans la barre d'adresses) et en éditant la préférence noscript.permanent. Au fait, merci :P
Quel est ce drôle de son que j'entends quand j'ouvre une page web ?
C'est un son que Markus m'a gentiment offert en me suggérant de fournir un retour audio informant quand des pages contenant des balises <script> sont ouvertes. Je pense que c'est une sage idée car j'ai entendu parler de gens qui ont installé NoScript et qui étaient surpris que certains sites ne marchent plus : au moins ils se rappelleront qu'il y a une extension faisant la basse besogne :-)
D'un autre côté, de nombreuses personnes semblent ne pas trop apprécier ce son de couvercle de toilette ;-) Bien sur vous pouvez le désactiver par les options de NoScript Apparence. La version 1.0.7 à venir utilisera un son "Zap" plus discret.
Puis-je désactiver cette barre jaune qui apparaît parfois pour m'indiquer que des scripts ont été bloqués ?
Bien entendu ! Il vous suffit d'aller dans les options de NoScript, de choisir l'onglet Apparence et de décocher la case Afficher un message sur les scripts bloqués.
Est-ce que je dois désactiver le Javascript dans les options de Firefox pour naviguer en toute sécurité avec NoScript‚?
Vous ne devez pas désactiver Javascript dans Firefox ! NoScript va autoriser/interdire les scripts, mais ils doivent être activés par défaut, c'est-à-dire que la cas Activer JavaScript dans les Outils > Options > Contenu doit être cochée, sans quoi le javascript sera désactivé partout, même si vous l'autorisez avec NoScript.

Résolution des problèmes

Depuis que j'ai installé Noscript, Firefox plante très souvent. Que se passe-t-il ?
Mettez à jour vers la dernière version stable de Firefox. Jusqu'à la version 1.0.4, Firefox était affecté par un bug vieux de 2 ans, le bug 217967, qui provoquait des plantages aléatoires du navigateur après des changements de permissions de sécurité. L'auteur a fixé le bug, et les versions d'après le 30 juin 2005 (depuis Firefox 1.0.5) ne plantent plus avec NoScript :)
Je ne peux pas utiliser mon compte hotmail, Gmail, etc. Que se passe-t-il ?
Ces services utilisent intensivement Javascript, également dans des sous-cadres et boîtes de dialogue qui n'ont pas nécessairement la même URL que la page d'inscription. La voie la plus simple (même si ce n'est pas la plus sure) pour résoudre le problème est d'activer le domaine de base (hotmail.com, google.com) plutôt que l'URL exacte. La voie la plus sure serait de cliquer sur chaque page qui ne marche pas et d'autoriser les adresses interdites. À vous de choisir ;).
J'ai trouvé une page avec un clip vidéo supposé être joué, mais j'ai obtenu une popup disant que le plugin Lecteur Windows Media (WMP) a effectué une opération illégale. Si je désinstalle NoScript, l'erreur n'apparaît pas. Qu'y a-t-il ?
Ceci est réellement un problème WMP/Javascript, pas un problème de NoScript. Si vous désinstallez NoScript et désactivez JavaScript par l'interface intégrée de Firefox, vous obtiendrez la même erreur. Il semble que sur certaines pages le plugin WMP a besoin de Javascript activé (avec NoScript vous pouvez autoriser ce site comme d'habitude, et WMP fonctionnera.

Incompatibilités

NoScript cohabite relativement mal avec d'autres extensions nécessitant javascript, comme par exemple FlashBlock.

visiteur, le 18/05/2005 à 00h11

Excellent et facile d'utilisation,un tres bon complèment a adblock.
Merci a l'auteur ainsi qu'au traducteur.

amicalement j,b

visiteur, le 18/05/2005 à 18h00

(((SUPER)))!!!!
Offre une protection suplémentaire contre les Java Script malveillant c'est génial .
Facile d'utilisation ! rien n'a dire je le conseille vivement !

visiteur, le 22/05/2005 à 16h02

Bonjour à tous :-)

L'installation de cette extension à fait planter Firefox chez moi même en mode sans échec ...
Symptôme : firefox est lancé et relancé sans arrêt et il est même impossible de "killer" le processus avec le gestionnaire des tâches ou process explorer...
Même la désinstallation manuelle ne marchait pas...
La solution que j'ai utilisée : réinstaller Firefox sur lui-même...

Dommage car une telle extension est une très bonne idée...

Mais cela sera sûrement corrigé bientôt.
Histoire à suivre :)

visiteur, le 23/06/2005 à 17h23

Tres axessible et facile d'utilisation.

PS : Apres l'installaion de "No script", Mon firefox est devenu instables (plantages fréquents). J'ai changé mon FireWall et plus de plantages.

Greg de Perigueux.

visiteur, le 13/07/2005 à 11h17

Très bonne extension, aucun problème, à rajouter absolument dans ses garde-fous :-)
Merci bien.
PS: direction le forum j'ai besoin d'un p'tit renseignement.
duduche.

visiteur, le 20/07/2005 à 22h36

Trés bon, seulement, j'ai remarqué que Flashblock ne fonctionnait pas sur les sites interdits...

ecjs, le 26/01/2006 à 18h43

Vraiment cool !
Attention, il y a plein d'options dont on ne se sert pas car on ignore leur puissance !
Je pense notamment à la protection contre le java qui est bien sympathique.

bouazza, le 07/03/2006 à 12h31

Salut tous ,
est ce que NoScript pourra fonctionner inversement ? c'est à dire qu'il doit fonctionner au principe d'une liste noire , on doit indiquer les sites dangereux et il doit les bloquer .
et s'il y a une autre extension fonctionner sur le principe d'une liste noire , n'hésitez pas à le citer .

Merci d'avance .
@+ Bouazza

ecjs, le 04/04/2006 à 21h55

http://extensions.geckozone.org/QuickJava pour bouazza

giupou, le 14/04/2006 à 15h21

Cette extension est la protection parfaite contre les javascripts malicieux de tout bords! Elle permet même de bloquer les pubs! Adieu spywares, malwares et virus ...

maxim, le 03/07/2006 à 10h41

"Adieu spywares, malwares et virus" ? Bien sûr que non ! Adieu AJAX, animations flash intégrées par javascript, adieu aides à la saisie... Avez-vous remarqué comment ni dans la faq, ni sur le site de NoScript, on ne dit pas une seule fois pourquoi ce javascript qu'on nous presse de bloquer serait si dangereux et maléfique. Tout simplement parce que le javascript n'est pas dangereux !
Avez-vous déjà codé en javascript ? Ce langage se réduit à des modifications sur l'affichage, et, depuis ajax, à des communications en temps réel avec le serveur. La seule chose qui peut éventuellement vous porter atteinte ce sont les scripts qui vous suivent pour connaître des statistiques sur votre passage. Or ces scripts ne sont pas dangereux, ils aident seulement le webmaster à obtenir des statistiques de visite sur son site.
Avec la récente montée de la nouvelle grande technologie web - AJAX pour ne pas la nommer, avec l'apparition grâce à cette technologie d'éléments utiles : aide à la saisie, suggestion de frappe, progression des transferts de fichiers, mise à jour du contenu en temps réel, les possibilités de AJAX sont énormes et encore inexplorées, désactiver tout le javascript utile qui apparaît progressivement en petite touches sur chaque page que vous visitez pour aider l'utilisateur et ajouter une certaine interactivité devient une très mauvaise idée qui ne fera qu'appauvrir votre navigation en vous empêchant de profiter des dernières avancées en matière de javascript. Gmail, Google Maps, mais aussi Dailymotion, tant de sites utiles qui ont pour point commun de tirer parti du javascript pour faciliter la navigation de l'utilisateur.
Alors moi, je ne comprends pas quand on me dit "javascripts malicieux de tout bords", "Adieu spywares, malwares et virus"... On ne doit pas parler du même langage.

*Calimo, le 03/07/2006 à 14h58

Effectivement, en soi, sur le papier, le javascript n'est pas dangereux.
Mais c'est sans compter les failles de sécurité ! Une grande majorité des failles de sécurité sont liées à javascript. (Je n'ai plus les chiffres mais ça tourne au-dessus de 90%). Et là, il n'y a pas photo, le javascript peut devenir réellement dangereux.

Désactiver javascript a d'autres avantages : on supprime le flash (si l'on souhaite), beaucoup de pubs, et toute une ribambelle de scripts qui bougent, clignottent et/ou dont le but est de pourrir la vie du visiteur. (Et qui, malheureusement, sont beaucoup trop nombreux de nos jours.)
À propos d'Ajax : là encore, sur le papier, c'est très bien, mais en pratique 99% des scripts AJAX souffrent d'un manque chronique d'ergonomie (je ne vais pas rentrer dans les détails, il y a suffisemment d'articles qui en parlent).

Bref, cette extension donne le choix au visiteur d'utiliser ou non javascript : c'est la liberté de chacun ;-)

PS : si tu es webmaster et que ton site ne passe pas avec javascript désactivé, alors il faut te poser la question : que fais-tu des utilisateurs qui ne peuvent pas activer javascript ? Car il y en a, environ 10% selon la majorité des sources. Et ça, ça n'a rien à voir avec NoScript.

Gorn, le 10/04/2007 à 08h18

Une bonne extension, ma foi ! Facile à configurer puisque l'ajout (ou le refus) des autorisations se fait au fil des pages web... Offre la possibilité de désactiver java pour les sites dangereux...

gibson, le 24/06/2007 à 14h07

UN MUST BRAVO!

felixbouge, le 01/08/2007 à 21h17

ATTENTION :
No Script empêche à googlecustomize d'enlever les pubs sur google!
Pour résoudre le problème, permettre à google d'utiliser les scripts!
Ainsi googlecustomize et no script ne se marche plus sur les pieds!

Seuls les membres peuvent ajouter des commentaires.
Utilisez la page de connexion pour vous inscrire.


- Merci de commencer par consulter l'aide.
- Pour des demandes d'aide, pensez au forum.
- Le lien ne fonctionne pas ? Commencez SVP par lire la page installer une extension.

Les commentaires vulgaires, blessants ou injurieux seront supprimés. Merci de faire des critiques constructives qui nous aideront à nous améliorer.

Le code HTML dans le commentaire sera affiché comme du texte. Pour formater votre texte vous pouvez utiliser la syntaxe Wiki :

Règles de base :
**Texte en gras !** ---> Texte en gras !
//Texte en italique.// ---> Texte en italique.
##texte à espacement fixe## ---> texte à espacement fixe
[[http://www.geckozone.org Lien vers Geckozone]] ---> Lien vers Geckozone