(no subject)
Oct. 21st, 2008 15:01![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
nepilsonis(озадаченно) самое свежее расширение «NoScript» блокирует попытку ответить на комментарий из формы, которую жж присылает на почту.
Недоумённо чешу репу: «а что делать-то? как правильно?»
Недоумённо чешу репу: «а что делать-то? как правильно?»
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
> «а что делать-то? как правильно?»
Date: 2008-10-21 12:10 (UTC)Re: > «а что делать-то? как правильно?»
Date: 2008-10-21 15:53 (UTC)Я просто задумался, как правильно. В смысле — стоит ли это отключать.
> В смысле — стоит ли это отключать.
Date: 2008-10-21 15:55 (UTC)Re: > В смысле — стоит ли это отключать.
Date: 2008-10-21 16:09 (UTC)Пожалуй, почитаю я побольше про это xss.
В принципе, я считал, что на настоящий момент мне с моими «симанкой» и «фаерфоксом» ничего страшного через xss в почте не грозит, даже если и ткну «не туда» — при том, что привычка видеть урл, в который тычу, у меня есть, и в явно странные, от хз кого, обычно не тыкаю.
Но раз в «носкрипт» это добавили — то, наверное, проблемы реальны? Или это они так, из общей параноидальности, требующей полного перфекционизма?
> наверное, проблемы реальны?
Date: 2008-10-21 16:13 (UTC)У меня когда NoScript на эту тему пищал, я смотрел по обс-вам, и если всё было чисто, то разрешал. Ну а вообще, меня вот что в своё время обеспокоило: http://poige.livejournal.com/279046.html
Re: > наверное, проблемы реальны?
Date: 2008-10-21 17:23 (UTC)Я этот «носкрипт» вообще то включу, то выключу… Уж больно много нынче на жабаскрипте наделано — на большинстве сайтов без него довольно неудобно, а на некторыз вообще ничего не сделать.
В общем, мне кажется, что «носкрипт» — не решение «в мировом масштабе». Нужны какие-то общие принципы, по которым надо браузеры строить.
Что-то вроде системы контейнеров, с явно декларированными и стандартными для всех браузеров интерфейсами за пределы этих контейнеров, и понятная
домохозяйкамсредневзвешенному школьнику система управления политиками существования этих контейнеров.Что-то вроде «сайт живёт в контейнере, который может только читать информацию из элементов управления им же отображённых, и собственные куки». По отдельным явным разрешениям — доступ к ресурсам компьютера, таким, как файловая система, реестр, устройства (вроде держателей ключей, считывателей отпечатков пальцев или штрих-кодов) и т.п.
Однако если запретить обращаться к другим сайтам, то поломаются не только баннерные сети, но и онлайн-переводчики, и партнёрские программы, и так любимые сейчас многими «виджеты» и прочие сборные «с миру по нитке» сайты.
Короче, «носкрипт» слишком груб и сложен, а управляемого решения я не вижу. Ибо, скажем, «selinux» — вроде как похож на то, что я пердлагаю, но им ведь невозможно пользоваться, его даже матёрому админу настроить для одной программы нужны часы, а то и дни — что же говорить и постоянно меняющейся среде веба.
Не существует в природе универсальной возможности отличить картинку в форумной подписи, показывающую статус постера в сети, от такой же картинки, отсылающей мои куки с сессией этому же постеру.
Как не существует универсальных критериев для отличения добра от зла, или вреда от пользы.
Мы все умрём :) и это прекрасно :))