nepilsonis: (los)
nepilsonis ([personal profile] nepilsonis) wrote2008-10-21 03:01 pm
  • Add Memory
  • Share This Entry

(no subject)

(озадаченно) самое свежее расширение «NoScript» блокирует попытку ответить на комментарий из формы, которую жж присылает на почту.

Недоумённо чешу репу: «а что делать-то? как правильно?»
Flat | Top-Level Comments Only

> «а что делать-то? как правильно?»

[identity profile] poige.livejournal.com 2008-10-21 12:10 pm (UTC)(link)
Это, наверное, XSS protection срабатывает. Там иконка должна быть, которая это поясняет, и позволяет выполнить.

Re: > «а что делать-то? как правильно?»

[identity profile] nepilsonis.livejournal.com 2008-10-21 03:53 pm (UTC)(link)
Иконка-то есть. И я уверен, хоть и не заглядывал туда, что это можно отключить.
Я просто задумался, как правильно. В смысле — стоит ли это отключать.

> В смысле — стоит ли это отключать.

[identity profile] poige.livejournal.com 2008-10-21 03:55 pm (UTC)(link)
Там одноразово можно разрешить. Впрочем, лично я предпочитаю отвечать на комментарии не из почты. :)

Re: > В смысле — стоит ли это отключать.

[identity profile] nepilsonis.livejournal.com 2008-10-21 04:09 pm (UTC)(link)
А я чаще всего именно из почты отвечал.
Пожалуй, почитаю я побольше про это xss.
В принципе, я считал, что на настоящий момент мне с моими «симанкой» и «фаерфоксом» ничего страшного через xss в почте не грозит, даже если и ткну «не туда» — при том, что привычка видеть урл, в который тычу, у меня есть, и в явно странные, от хз кого, обычно не тыкаю.

Но раз в «носкрипт» это добавили — то, наверное, проблемы реальны? Или это они так, из общей параноидальности, требующей полного перфекционизма?

> наверное, проблемы реальны?

[identity profile] poige.livejournal.com 2008-10-21 04:13 pm (UTC)(link)
XSS более, чем реальная проблема. http://ru.wikipedia.org/wiki/XSS

У меня когда NoScript на эту тему пищал, я смотрел по обс-вам, и если всё было чисто, то разрешал. Ну а вообще, меня вот что в своё время обеспокоило: http://poige.livejournal.com/279046.html

Re: > наверное, проблемы реальны?

[identity profile] nepilsonis.livejournal.com 2008-10-21 05:23 pm (UTC)(link)
Угу.
Я этот «носкрипт» вообще то включу, то выключу… Уж больно много нынче на жабаскрипте наделано — на большинстве сайтов без него довольно неудобно, а на некторыз вообще ничего не сделать.

В общем, мне кажется, что «носкрипт» — не решение «в мировом масштабе». Нужны какие-то общие принципы, по которым надо браузеры строить.
Что-то вроде системы контейнеров, с явно декларированными и стандартными для всех браузеров интерфейсами за пределы этих контейнеров, и понятная домохозяйкам средневзвешенному школьнику система управления политиками существования этих контейнеров.

Что-то вроде «сайт живёт в контейнере, который может только читать информацию из элементов управления им же отображённых, и собственные куки». По отдельным явным разрешениям — доступ к ресурсам компьютера, таким, как файловая система, реестр, устройства (вроде держателей ключей, считывателей отпечатков пальцев или штрих-кодов) и т.п.

Однако если запретить обращаться к другим сайтам, то поломаются не только баннерные сети, но и онлайн-переводчики, и партнёрские программы, и так любимые сейчас многими «виджеты» и прочие сборные «с миру по нитке» сайты.

Короче, «носкрипт» слишком груб и сложен, а управляемого решения я не вижу. Ибо, скажем, «selinux» — вроде как похож на то, что я пердлагаю, но им ведь невозможно пользоваться, его даже матёрому админу настроить для одной программы нужны часы, а то и дни — что же говорить и постоянно меняющейся среде веба.

Не существует в природе универсальной возможности отличить картинку в форумной подписи, показывающую статус постера в сети, от такой же картинки, отсылающей мои куки с сессией этому же постеру.

Как не существует универсальных критериев для отличения добра от зла, или вреда от пользы.

Мы все умрём :) и это прекрасно :))
Flat | Top-Level Comments Only