Ti spie­ghia­mo come di­sat­ti­va­re Ja­va­Script nei browser standard Mozilla Firefox, Google Chrome e Microsoft Edge e ti forniamo una breve pa­no­ra­mi­ca dei rischi noti per la sicurezza della tec­no­lo­gia web.

Come si di­sa­bi­li­ta Ja­va­Script nel browser?

Tutti i comuni browser offrono la pos­si­bi­li­tà di di­sat­ti­va­re Ja­va­Script, se ne­ces­sa­rio. La posizione della funzione varia a seconda del browser uti­liz­za­to. Di seguito ti spie­ghia­mo come di­sat­ti­va­re Ja­va­Script con pochi clic in Mozilla Firefox, Google Chrome e Microsoft Edge.

Di­sat­ti­va­re Ja­va­Script in Firefox

Dalla versione 23 in poi, Mozilla Firefox non fornisce più l’opzione di di­sat­ti­va­zio­ne di Ja­va­Script tramite le im­po­sta­zio­ni generali del browser. Se desideri di­sat­ti­va­re Ja­va­Script devi ricorrere all’editor di con­fi­gu­ra­zio­ne. Procedi come segue:

Primo passaggio: inserisci about:config nella barra degli indirizzi e conferma con Invio.

Secondo passaggio: se apri l’editor di con­fi­gu­ra­zio­ne per la prima volta, Firefox mostra un avviso prima di rein­di­riz­zar­ti alle im­po­sta­zio­ni nascoste del browser. Accetta il rischio e conferma di voler procedere comunque.

Immagine: Avviso di Firefox quando si richiama l’editor di configurazione
At­ten­zio­ne: se apporti modifiche all’editor di con­fi­gu­ra­zio­ne di Firefox, la garanzia del pro­dut­to­re del browser potrebbe non essere più valida.
Consiglio

Per non ricevere più l’avviso di sicurezza quando si richiama l’editor di con­fi­gu­ra­zio­ne, è suf­fi­cien­te togliere il segno di spunta dalla casella “Mostra questo avviso quando si accede a queste pre­fe­ren­ze”.

Terzo passaggio: inserisci javascript.enabled nella barra di ricerca dell’editor di con­fi­gu­ra­zio­ne. Firefox filtra au­to­ma­ti­ca­men­te la riga de­si­de­ra­ta dalle im­po­sta­zio­ni. Fai quindi clic sull’opzione “Cambia” per mo­di­fi­ca­re il valore dell’im­po­sta­zio­ne da true a false.

Immagine: Impostazione di Firefox “javascript.enabled”
I valori nell’editor di con­fi­gu­ra­zio­ne di Firefox possono essere regolati tramite “Cambia”. In al­ter­na­ti­va, è suf­fi­cien­te fare doppio clic sulla ri­spet­ti­va im­po­sta­zio­ne.
N.B.

Per con­sen­ti­re nuo­va­men­te gli script in un secondo momento e attivare Ja­va­Script in Firefox, fai nuo­va­men­te clic su “Cambia” alla voce di con­fi­gu­ra­zio­ne indicata.

Di­sat­ti­va­re Ja­va­Script in Chrome

Gli utenti di Google Chrome possono gestire le opzioni di Ja­va­Script di­ret­ta­men­te dalle im­po­sta­zio­ni del browser.

Primo passaggio: clicca sull’icona del menu (i tre punti) nell’angolo in alto a destra della finestra del browser e seleziona “Im­po­sta­zio­ni” per aprire le im­po­sta­zio­ni del browser.

Immagine: Il menu del browser Chrome
Le im­po­sta­zio­ni del browser si trovano nel menu prin­ci­pa­le dell’ap­pli­ca­zio­ne.

Secondo passaggio: seleziona “Privacy e sicurezza” nel menu a sinistra e poi clicca su “Im­po­sta­zio­ni sito”.

Immagine: Google Chrome: impostazioni sito
Google Chrome: pulsante Im­po­sta­zio­ni sito nel menu “Privacy e sicurezza”.

Terzo passaggio: scorri fino alla sezione “Contenuti” e premi sul pulsante “Ja­va­Script”.

Immagine: Google Chrome: impostazioni dei contenuti
Google Chrome: im­po­sta­zio­ni dei contenuti.

Quarto passaggio: Ja­va­Script viene attivato au­to­ma­ti­ca­men­te su Chrome. Se desideri di­sa­bi­li­ta­re Ja­va­Script per tutti i siti web, seleziona l’opzione “Non con­sen­ti­re ai siti di usare Ja­va­Script”. In al­ter­na­ti­va, nelle im­po­sta­zio­ni per­so­na­liz­za­te è possibile di­sat­ti­va­re o attivare Ja­va­Script solo per alcuni siti web.

Immagine: Google Chrome: impostazioni di JavaScript
Nelle opzioni Ja­va­Script di Chrome è possibile gestire anche blacklist e whitelist per l’im­po­sta­zio­ne Ja­va­Script se­le­zio­na­ta.
Consiglio

Nella Digital Guide scopri anche come attivare Ja­va­Script su Google Chrome.

Di­sat­ti­va­re Ja­va­Script in Microsoft Edge

Anche Microsoft offre agli utenti di Edge la pos­si­bi­li­tà di impedire l’ese­cu­zio­ne di script lato client. La di­sat­ti­va­zio­ne avviene come segue at­tra­ver­so le im­po­sta­zio­ni generali del browser:

Primo passaggio: richiama le opzioni generali di Edge (icona con i tre puntini) e seleziona la voce di menu “Im­po­sta­zio­ni”.

Immagine: Microsoft Edge: pulsante Impostazioni
Microsoft Edge: pulsante Im­po­sta­zio­ni nel menu generale del browser.

Secondo passaggio: fai clic sulla voce “Cookie e au­to­riz­za­zio­ni sito” nel menu laterale sinistro e scorri fino alla sezione “Tutte le au­to­riz­za­zio­ni”. Lì troverai la voce “Ja­va­Script”, che puoi ora se­le­zio­na­re.

Immagine: Voce di menu JavaScript in Edge
Nel menu “Cookie e au­to­riz­za­zio­ni sito” è possibile definire una serie di au­to­riz­za­zio­ni come Ja­va­Script, la posizione o l’accesso al microfono.

Terzo passaggio: sposta a sinistra il cursore nella riga “Con­sen­ti­to (scelta con­si­glia­ta)” per di­sat­ti­va­re Ja­va­Script in Edge. Inoltre, puoi attivare o di­sat­ti­va­re il lin­guag­gio di scripting per singoli siti web creando una voce cor­ri­spon­den­te nella blacklist (“Blocca”) o nella whitelist (“Consenti”).

Immagine: Edge: disattivare JavaScript
Non appena sposti il cursore a sinistra, Ja­va­Script viene di­sat­ti­va­to in Microsoft Edge.
Consiglio

Leggi il nostro articolo “Attivare Ja­va­Script in Microsoft Edge” per scoprire come abilitare nuo­va­men­te il lin­guag­gio di scripting nel browser Microsoft.

Cosa succede quando si disattiva Ja­va­Script?

Prima di di­sat­ti­va­re Ja­va­Script nel tuo browser web, devi essere con­sa­pe­vo­le delle con­se­guen­ze. Secondo w3techs.com il lin­guag­gio di scripting è uti­liz­za­to in circa il 99% di tutte le pagine web. Spesso queste vengono vi­sua­liz­za­te cor­ret­ta­men­te solo se il browser è in grado di elaborare Ja­va­Script.

Inoltre, non tutti i siti web offrono versioni al­ter­na­ti­ve adeguate, in grado di fun­zio­na­re cor­ret­ta­men­te anche senza script. Di con­se­guen­za, di­sat­ti­van­do Ja­va­Script, si corre il rischio di perdere i contenuti es­sen­zia­li delle pagine in questione.

Consiglio

Un’al­ter­na­ti­va alla di­sat­ti­va­zio­ne di Ja­va­Script nel browser è data dalle esten­sio­ni che limitano l’ese­cu­zio­ne degli script lato client secondo regole definite dall’utente. Il leader di mercato in questo settore è il plugin open source di Firefox NoScript.

Ja­va­Script: i rischi in sintesi

Ja­va­Script, insieme a HTML e CSS, è una delle tec­no­lo­gie standard del Word Wide Web. La pro­gram­ma­zio­ne lato client è diventata ormai parte in­te­gran­te dello sviluppo web odierno ed è on­ni­pre­sen­te in rete. Tuttavia, si dovrebbe essere con­sa­pe­vo­li dei rischi associati a tali tec­no­lo­gie.

N.B.

Java, a parte il nome, non ha molto in comune con Ja­va­Script. Si tratta di due linguaggi di pro­gram­ma­zio­ne distinti che for­ni­sco­no due diverse modalità di ese­cu­zio­ne del codice nel browser lato client. La de­no­mi­na­zio­ne simile deriva da mo­ti­va­zio­ni di marketing.

In linea di principio, Ja­va­Script è un lin­guag­gio in­for­ma­ti­co con au­to­riz­za­zio­ni molto limitate. Il lin­guag­gio di scripting consente fon­da­men­tal­men­te di:

  • ma­ni­po­la­re la finestra corrente del browser tramite DOM (Document Object Model);
  • aprire nuovi browser o finestre di dialogo;
  • animare gli elementi della pagina, metterli in evidenza, na­scon­der­li o mo­di­fi­car­ne la con­fi­gu­ra­zio­ne;
  • con­va­li­da­re i valori di input;
  • tra­sfe­ri­re in­for­ma­zio­ni sulle abitudini di lettura e sulle attività di na­vi­ga­zio­ne dell’utente ad altri siti web.

Ja­va­Script può accedere soltanto ai cookie dell’utente e a quelli di dati relativi ai siti web. Con Ja­va­Script non si può accedere al disco rigido. Con il lin­guag­gio di scripting non è quindi possibile ri­chia­ma­re librerie, né avviare ulteriori programmi. Ciò è garantito dal co­sid­det­to principio del sandbox, che limita la sfera d’influenza degli script alla relativa finestra del browser in cui Ja­va­Script viene eseguito.

Cio­no­no­stan­te, Ja­va­Script offre un certo margine di ma­ni­po­la­zio­ne. Un uso improprio di Ja­va­Script consente ad esempio di:

  • leggere in­for­ma­zio­ni sul browser o sul sistema operativo per re­gi­stra­re l’espe­rien­za utente o per rilevare falle di sicurezza (ad esempio plugin obsoleti);
  • aprire in­nu­me­re­vo­li finestre pop-up per bloccare il computer dell’utente (Denial of Service, ab­bre­via­to in DoS);
  • na­scon­de­re codice maligno;
  • simulare siti web di fornitori di fiducia in attacchi di phishing.

Talvolta, sul computer dell’utente possono ve­ri­fi­car­si bug di sistema solo durante l’ese­cu­zio­ne di uno script.

Il rischio prin­ci­pa­le per la sicurezza non è tanto il lin­guag­gio di scripting, quanto l’in­ter­pre­te di Ja­va­Script nel browser. Se questo è difettoso, si verifica una falla di sicurezza che deve essere chiusa im­me­dia­ta­men­te. Questo è l’unico modo per as­si­cu­ra­re che gli script fun­zio­ni­no se­pa­ra­ta­men­te nel sandbox senza in­fluen­za­re altri programmi o il sistema operativo.

N.B.

Un attacco in­for­ma­ti­co, in cui gli hacker sfruttano le falle di sicurezza delle ap­pli­ca­zio­ni tra­sfe­ren­do codice maligno a script eseguiti lato client, viene chiamato Cross-site scripting.

Vai al menu prin­ci­pa­le