[Firefox] Comment utiliser uBlock Origin – 2

uBlock - interface en action

Voici la suite de la série en quatre articles, Comment utiliser l’extension uBlock Origin avec Firefox.

Il s’agit à présent d’installer NoScript et uBlock Origin et de paramétrer NoScript pour qu’il soit efficace, puis de désactiver sa fonction de blocage de scripts pour qu’il se combine avec uBlock Origin, sans l’entraver.

Reportez-vous à la première partie si vous ne savez pas ce qu’est un module pour Firefox, ni comment en installer un.

Installez NoScript

:!: Vous suivez bien sûr le bon conseil de ne pas surfer du tout pendant l’installation de NoScript car vous n’avez pas besoin d’aide depuis le web pour cela. Votre Firefox affiche soit une page blanche, c’est tout :!:

Comme il est dit dans l’article paru sur Libre-Fan, Modules pour sécuriser Firefox et votre navigation, il est possible et recommandé de conserver NoScript qui vous protégera d’éléments malfaisants (XSS, Clickjacking, etc.).

Il est très important de bien configurer NoScript :

  • Mes pastilles oranges attirent votre attention sur les paramètres importants.
  • Mes choix sont assez drastiques mais si pour une raison ou une autre, NoScript devient votre unique module, il faut qu’il soit le plus efficace possible.
  • Veillez à bien supprimer tous les sites de la liste blanche, qui est bien trop permissive, et à ne laisser que l’essentiel — ajoutez provisoirement vive-gnulinux.fr.cr pour que les images de cette page s’agrandissent bien d’un clic, soit par-dessus l’article, soit dans une page indépendante — voir Les images dans les articles.
    Vous supprimerez ce site une fois que vous saurez utiliser uBlock Origin.

    • Dans l’onglet «Liste blanche», décochez ou ne cochez pas la ligne tout en bas «Autoriser les scripts globalement» («Allow scripts globally»), tant que vous n’avez pas installé et paramétré uBlock Origin
    • L’onglet«Avancé» («Advanced») contient 6 sous-onglets, dont XSS et Clearclick, mais les sous-onglets «Trusted» et «Untrusted» doivent aussi être paramétrés — les autres le sont par défaut et le sous-onglet «HTTPS» est à votre discrétion.

    Ci-dessous une galerie d’images qui vous montre toute la configuration en détail de NoScript. Chaque image s’ouvre dans une nouvelle fenêtre pour vous permettre de poster un commentaire en lien avec une image précise :

    Installez uBlock Origin

    NoScript bien paramétré vous protège à présent. Ouf :-)

    uBlockO - icône Vous avez installé l’extension uBlock Origin depuis la page des «Add-ons» («Modules») de Firefox ou à l’aide de l’URL suivante :
    addons.mozilla.org/fr/firefox/addon/ublock-origin/.

    Une icône rouge sera déjà dans la barre des icônes, ou sinon, à faire glisser depuis le bazar d’icônes, ou encore à faire glisser à un autre endroit de la barre des icônes, à votre convenance.

    À présent, j’abrège «uBlock Origin» en «uBlockO», sauf dans les titres.

    Le duo NoScript et uBlock Origin

    L’idée est donc de conserver NoScript sans qu’il interfère avec uBlockO. Il ne s’agit pas de supprimer NoScript, mais juste de désactiver le blocage des scripts ; c’est uBlockO qui se chargera de les bloquer tandis que NoScript continuera de vous protéger contre les XSS, Clickjacking, CSRF et autres chausse-trappes.

    NoScript, ancienne version, avant la 2.6.9.39

    Il suffit de désactiver NoScript dans la page des «Add-ons» de Firefox en vous aidant de l’image ci-après et en suivant cet ordre :
    NoScript - Désactiver le blocage des scripts

    1. Ouvrez la page des «Add-ons» — la barre de l’URL de Firefox vous indique que vous êtes au bon endroit about:addons
    2. Nous sommes bien sur le panneau qui fait la liste des modules de Firefox — sur l’image, il y en a 3 actifs et un désactivé (uMatrix)
    3. Cliquez sur la ligne NoScript, ce qui affiche une barre verticale orange devant son nom
    4. Cliquez sur sur le bouton «Disable» («Désactiver»)…
    5. Ce qui affiche la fenêtre d’avertissement «Security Downgrade Warning» — j’ai déjà résumé son contenu un peu plus haut
    6. Clic sur le bouton de gauche indiqué par une pastille orange («Non, juste ne plus bloquer les scripts»)
    7. Vous pouvez fermer la paqe des «Add-Ons».

    NoScript depuis la version la 2.6.9.39

    Depuis au moins la version 2.6.9.39, NoScript n’affiche plus la petite fenêtre montrée dans l’image ci-dessus. Passer par la page de modules est une bonne chose car cela permet de vérifier que la dernière version de NoScript est bien installée ou s’il faut redémarrer Firefox.
    Donc, voici comment désactiver en partie NoScript avec cette nouvelle version :
    NoScript - Désactiver le blocage des scripts

    1. Ouvrez la page des «Add-ons» — la barre de l’URL de Firefox vous indique que vous êtes au bon endroit about:addons
    2. Nous sommes bien sur la page qui fait la liste des modules de Firefox — dans ce Firefox, il y en a 3 actifs et un désactivé (uMatrix)
    3. Cliquez sur la ligne NoScript, ce qui affiche une barre verticale orange devant son nom
    4. Cliquez sur sur le bouton «Préférences», indiqué par une de mes pastilles oranges…
    5. Ce qui affiche la fenêtre des «Préférences» de Noscript avec une suite d’onglets
    6. Clic sur l’onglet «Liste blanche» et cochez la case «Autoriser les scripts globalement»
    7. Vous pouvez fermer la page des «Add-Ons».

    Voici l’onglet «Liste blanche» des «Options» de NoScript ; vous voyez que la ligne en bas «Autoriser les scripts globalement» est bien cochée :

    NoScript - Onglet "Liste blanche"

    Attention Liste Blanche

    Voici donc NoScript en bonne partie désactivé mais vous protégeant de ce dont uBlockO ne vous protège pas.

    Enfin uBlock Origin

    ublock0 Enfin, nous voici arrivés à uBlock. Vous avez bien sûr suivi le bon conseil de vous contenter des pages de Liberté GNU/Linux qui vous sont utiles pour le moment.

    Clic sur l’icône de uBlockO dans la barre des icônes de Firefox et vous voyez enfin à quoi ressemble uBlockO en mode minimal (panneau initial).

    Il nous faut continuer pour que uBlockO devienne plus efficace et que l’interface devienne plus intéressante …, en cliquant sur la barre indiquée par ma pastille orange …
    … En avant pour la suite :-)
    Comment utiliser uBlock Origin – 3.

8 commentaires

  • Bonjour.
    Quand je clique sur le bouton «Désactiver» pour désactiver NoScript, la fenêtre d’avertissement «Security Downgrade Warning» ne s’affiche pas.

  • Liberté GNU/Linux

    Bonjour Thierry,

    En effet, la version de NoScript a changé et cette fenêtre d’avertissement ne s’affiche plus dans la version 2.6.9.39. Merci de l’avoir signalé. J’ai donc ajouté une mise à jour dans l’article. Mais autrement :
    Clic sur le bouton des Préférences pour accéder à l’onglet «White List» (Liste blanche). L’image de cet onglet est aussi accessible dans l’article ci-dessus (dernière image) ou depuis la galerie plus haut.
    Ou voici le lien direct vers l’image et un commentaire explicatif :
    http://vive-gnulinux.fr.cr/firefox-utiliser-ublock-origin-2/noscript2

  • Merci. Mais de toute manière, NoScript n’est plus disponible sous Firefox 42… Je l’ai remplacé par Blur (Do Not Track Me), et je n’ai pas l’impression d’avoir perdu au change.

    • Liberté GNU/Linux

      Cette indisponibilité est probablement provisoire. Chez moi, NoScript semble encore aller avec Firefox 42 (version beta) mais c’est vrai que cette extension est officiellement incompatible.

      Quant à Do Not Track Me et Blur, je ne les recommenderais pas. D’après ce qu’on peut lire sur le site des Add-ons de Mozilla, ce n’est pas une licence libre. Il vaudrait mieux utiliser uBlock Origin et uMatrix et éviter certains sites le temps que NoScript soit prêt pour Firefox 42.

    • Liberté GNU/Linux

      Voilà, NoScript est sorti en version 2.6.9.39 et il est compatible avec Firefox 42 :-)

  • J’attendrai. En tout cas, bravo pour ce formidable tutoriel !

  • Super tutoriel !
    Voilà 3 mois que j’utilise ta configuration et j’en suis très satisfait !
    Il y a juste un point que j’aimerai modifier, mais je ne trouve pas comment : j’aimerai autoriser par défaut le domaine que je visite, car dans mon expérience je dois systématiquement l’autoriser pour accéder à un nouveau site, et je ne vois pas l’intérêt de le bloquer par défaut.

    Sais-tu comment faire cette manip ?

Répondre à Thierry Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *