Bloccare JavaScript con NoScript e ScriptSafe

Perché bloccare JavaScript

Javascript abilita animazioni e interattività, ma alimenta anche pubblicità invasive, pop-up fastidiosi e vulnerabilità come cross-site scripting (XSS). Bloccare gli script selettivamente ti consente di visualizzare i contenuti utili bloccando ciò che viola la privacy o la sicurezza.

Importante: il blocco globale rompe molti siti alla prima visita. Questo è normale: concedi le autorizzazioni solo ai domini di cui ti fidi.

Bloccare JavaScript con ScriptSafe su Chrome

ScriptSafe è un blocco script per Chrome e browser basati su Chromium (es. Vivaldi). Per impostazione predefinita blocca quasi tutti gli script: quindi il flusso consigliato è “blocca tutto, poi autorizza”.

• Installa ScriptSafe dal Chrome Web Store.
• Alla prima visita di un sito vedrai che molte parti non funzionano: questo è previsto.
• Clicca sull’icona di ScriptSafe nella barra degli strumenti per aprire il pannello di controllo.

L’interfaccia organizza le regole per dominio. Tipiche azioni disponibili (interfaccia in inglese su molti componenti) sono:

• “Allow”: consente a uno specifico URL di caricare contenuti.
• “Trust”: consente a tutti i contenuti del dominio (es. “*.google.com”).
• “Deny” / “Distrust”: negano l’esecuzione come controparte di Allow/Trust.

ScriptSafe può inoltre marcare automaticamente alcuni fornitori come “unwanted” (non desiderati), bloccando risorse senza bloccare l’host principale. È possibile concedere permessi temporanei che si resettano al riavvio del browser.

Strumenti avanzati: ScriptSafe offre opzioni per mitigare fingerprinting, bloccare XSS e contrastare il clickjacking. Se sei un utente esperto, puoi personalizzare queste impostazioni per bilanciare sicurezza e usabilità.

Nota: se preferisci meno frizione, modifica il comportamento per consentire gli script di default e poi disabilita quelli specifici; tuttavia questo riduce la protezione.

Bloccare JavaScript con NoScript su Firefox

NoScript è l’alternativa per Firefox. È un’estensione consolidata con aggiornamenti regolari. Funziona come ScriptSafe bloccando gli script fino a quando non autorizzi il dominio.

• Installa NoScript da Mozilla Add-ons.
• All’apertura di un sito, l’icona di NoScript mostra quanti script sono stati bloccati.

Cliccando o passando il mouse sull’icona si apre un pannello. Puoi anche usare il pulsante “Options …” (Opzioni) sul ribbon di notifica in basso.

NoScript organizza i permessi per dominio. Le azioni tipiche sono:

• “Allow”: autorizza permanentemente quel dominio.
• “Temporarily allow”: autorizza fino alla fine della sessione.
• “Untrusted”: rimuove il dominio dalla lista e impedisce futuri permessi.

Puoi scegliere di “Allow all on this page” (consentire tutto su questa pagina); NoScript mostra un tooltip con i domini che stai per autorizzare. Nota che alcuni script caricano altri script, quindi potrebbe essere necessario ripetere l’operazione più volte.

Se necessario, disabilita NoScript completamente scegliendo “Allow scripts globally” (consenti script globalmente), ma fallo solo se capisci la perdita di protezione.

Contromisure complementari e approcci alternativi

Bloccare script è efficace, ma non è l’unico strumento. Alternative e complementi utili:

• uBlock Origin: filtro delle risorse e blocco pubblicità con whitelist granulare.
• Modalità “Richiesta di non tracciamento” e HTTPS-Only nelle impostazioni del browser.
• Impostare Content Security Policy (CSP) lato server per limitare le fonti di script (opzione per sviluppatori e amministratori web).
• Browser con blocco integrato (es. Brave) che combina filtri anti-tracciamento e script blocking.

Quando preferire alternative: se hai bisogno di interattività spinta su molti siti e non vuoi gestire whitelist manuali, una combinazione di uBlock Origin + DNS con blocco pubblicità può richiedere meno intervento umano.

Quando il blocco fallisce o crea problemi

• Siti che caricano script in più fasi: alcuni script “dinamici” vengono eseguiti solo dopo l’interazione, quindi potresti dover autorizzare più volte.
• Funzionalità legittime rotte: moduli, player video o login possono non funzionare finché non autorizzi il dominio pertinente.
• Firme di sicurezza o servizi di paywall: alcuni paywall verificano l’esecuzione di script e potrebbero bloccare l’accesso se gli script sono disabilitati.

Suggerimento: usa la modalità temporanea per diagnosticare quali domini sono necessari e poi sposta quelli affidabili nella whitelist permanente.

Mini-metodologia rapida per iniziare (5 minuti)

1. Installa ScriptSafe (Chrome) o NoScript (Firefox).
2. Attiva il blocco globale (impostazione predefinita).
3. Visita i siti essenziali (es. banca, lavoro) e usa “Temporarily allow” per testare.
4. Sposta i domini di fiducia in “Allow/Trust” in modo permanente.
5. Installa uBlock Origin come strato aggiuntivo e mantieni aggiornati i filtri.

Checklist per ruoli

• Utente finale:

  • Installare un blocco script.
  • Usare permessi temporanei per test.
  • Tenere una whitelist minima.

• Amministratore IT:

  • Fornire una policy aziendale per whitelist consentite.
  • Testare applicazioni interne con blocco script attivo.
  • Documentare workaround per app critiche.

• Sviluppatore web:

  • Implementare CSP per limitare le fonti di script.
  • Fornire fallback se gli script sono disabilitati.
  • Ridurre le dipendenze da CDN esterni non indispensabili.

Glossario veloce

• XSS: Cross-Site Scripting, attacco che inietta script dannosi in una pagina web.
• Clickjacking: tecnica che inganna l’utente facendogli cliccare su elementi nascosti.
• Fingerprinting: raccolta di attributi del browser per identificare un utente senza cookie.
• CSP: Content Security Policy, intestazione HTTP che limita le risorse caricate.

Sommario e raccomandazioni finali

Le estensioni come NoScript e ScriptSafe sono strumenti potenti per migliorare privacy e sicurezza del browser. Il flusso consigliato è: blocco globale → autorizzazioni temporanee → whitelist minima. Abbinale a filtri come uBlock Origin e a politiche server-side (CSP) per una difesa multilivello.

Note:

• Sii prudente nell’usare le opzioni “Trust/Allow” permanentemente.
• Mantieni aggiornate le estensioni e rimuovi quelle non più necessarie.

Fine: se desideri, posso fornirti una checklist PDF pronta per la distribuzione aziendale o un file di regole di esempio per ScriptSafe/NoScript da importare.