[Resolved] blocking FireFox with Noscript

[laozi]

Hello
Win7 32
FireFox 43.0.4
NoScript 2.9.0.2
Since yesterday, unable to connect to my bank account:
https://particuliers.secure.LCL.fr/index.html
This site is in my whitelist
FF crashes and offers me the download of a file:

After disabling Noscript, everything returns to normal
lighting
Thank you

[therube]

> FF crashes

about:crashes, the related crash report URLs?

[barbaz]

*sigh*... this again: viewtopic.php?f=7&t=21438

[laozi]

Many thanks for the link of the post,
so I added the XXS exceptions my Bank's website and everything is OK
Kind regards

un grand merci pour le lien du post,
j'ai donc ajouté aux exceptions de XXS le site de ma banque et tout est OK
cordialement

[barbaz]

L'éxception n'est pas sûr !
Voyez viewtopic.php?p=80023#p80023 et les messages suivants pour solutions actuels.

[laozi]

merci pour la mise en garde,
j'ai donc créé un deuxième profil uniquement pour ma banque et sans Noscript,
sans Noscript, la liaison web avec ma banque est donc fragile si les développeurs du site LCL ne sont pas sérieux et fiable !!!

[Thrawn]

Creating a second profile is a good choice. If you do not visit other sites, then not many threats can apply.

Création d'un deuxième profil est un bon choix. Si vous ne visitez pas d'autres sites, alors pas beaucoup de menaces peuvent appliquer.

[laozi]

Hello
one last question to well protect me:
What is the best protection?
1. new profile with Noscript and anti-XSS protection exception (^ @https://particuliers to \.secure\.lcl\.fr/)
2-new profile without Noscript
Thanks for your tip

bonjour,
une dernière question pour bien me protéger:
quelle est la meilleure protection ?
1- nouveau profil avec Noscript et l'exception protection anti-XSS (^@https://particuliers\.secure\.lcl\.fr/)
2-nouveau profil sans Noscript
merci pour votre conseil

[barbaz]

1- nouveau profil avec Noscript et l'exception protection anti-XSS (^@https://particuliers\.secure\.lcl\.fr/)

Je pense, ceci. Vous avez encore les autres protections de NoScript (comme ABE) et vous êtes protégé contre les attaques qui n'utilise pas window.name (l'éxception XSS permet juste XSS perpétrée par le site - quelques types d'XSS seront encore bloquer).

Mais c'est peut-être plus enclins à tomber en panne, que profil sans Noscript...

[laozi]

Thank you for the quality of your answers
well cordially

un grand merci pour la qualité de vos réponses
bien cordialement
vous pouvez passer le post en Résolu

[barbaz]

vous pouvez passé le post en Résolu

c'est fait

[laozi]

hello,
I have contacted the web assistance of credit lyonnais and asked the following question:

I use the FireFox browser with the NoSript extension and since early January 2016 to access my accounts.
obligation to declare "of https://particuliers.secure.lcl.fr" in protection anti-XSS (Cross-Site Scripting) exceptions!
What is going on?
are my connections with the LCL secure?

response of Crédit lyonnais:

Hello
Thank you for your message.
We have taken good note of your comment and wish to bring you the following details:
-you are browsing a secure site, it is normal that your personal data is displayed when navigating to this URL.
This is a technical setup that is not editable.
-When you logout (only by the button "disconnect me"), your personal information are automatically erased. So in the event of malicious intrusion on your computer, any of your personal data will be accessible.
We hope you have reassured our site's security standards.

not very reassuring response...

[barbaz]

Zut, ils n'ont pas du tout compris ce que vous leur aviez dit !?!

Les connections sont eux-mêmes sûr si c'est https, mais le site (et votre compte banque) peut-être n'est pas sûr des autres sites naviguerez dans le navigateur

[didierott]

J'ai été confronté au même problème.
Le support internet de lcl dit que c'est un bug de NoScript !
J'ai remarqué qu'il y avait des connexions à des sites du genre tech.lcl.fr au lieu de secure.lcl.fr.
Au vu du nom, on peut déjà penser que tech.lcl.fr est moins sécurisé que secure.lcl.fr !
Ces sites sont hébergés en Ireland (voire aux U.S. ? ) chez amazon services;
Ne souhaitant pas que mes données sortent de France,
j'ai mis dans le fichier .host
127.0.0.1 tech.lcl.fr
127.0.0.1 img-fdb.lcl.fr
pour bloquer l'accès à ces sites.

J'ai l'impression que cela fonctionne sans blocage de 30 secondes
Si quelqu'un a le problème, je voudrais savoir si ma solution marche ailleurs.
cordialement
didier

[barbaz]

C'est mauvais idée utiliser 127.0.0.1 pour fichier HOSTS blocage! Mieux utilisez 0.0.0.0 https://hackademix.net/2009/07/01/abe-w ... where-omg/