Разработчики Mozilla анонсировали (https://blog.nightly.mozilla.org/2019/04/01/reducing-notific.../) эксперимент, в рамках которого планируется опробовать технику борьбы с назойливыми запросами на предоставление сайту дополнительных полномочий. В последнее время все больше сайтов злоупотребляют предоставляемой в браузерах возможностью запроса полномочий, главным образом путём периодического вывода запросов на получение push-уведомлений. Для защиты от подобного спама в Firefox планируют ограничить ситуации при которых сайт может выводить уведомления с запросом полномочий.
По статистике, полученной в рамках сбора телеметрии, пользователям Firefox Beta с 25 декабря по 24 января было показано около 18 млн запросов полномочий, из которых только 3% были приняты пользователями.
Большая часть запросов были отклонены, а в 19% случаев пользователя сразу закрыли вкладку со страницей после появления подобного запроса.
Для сравнения при запросе доступа к камере и микрофону доля принятия уведомления составляет 85%. Указанная статистика свидетельствует о том, что обычно запросы на push-уведомления выводятся вне контекста и сильно раздражают посетителей.В настройках Firefox уже давно присутствует опция, позволяющая полностью запретить вывод запросов для push-уведомлений, но данная возможность неудобна в ситуациях, когда пользователь не намерен полностью отказываться от доставки уведомлений, но желает избавиться от назойливого спама. Начиная со вчерашнего дня и до 29 апреля в ночных сборках Firefox будет проведён эксперимент - запросы полномочий будут блокироваться, если не зафиксировано взаимодействие пользователя со страницей (клик мышью или нажатие клавиш). Первые две недели запросы будут блокироваться молча, а оставшееся время при попытке вывода запроса в адресной строке будет отображаться индикатор поступления запроса, при клике на который можно посмотреть сам запрос.
Затем планируется провести второй эксперимент, в ходе которого небольшому проценту пользователей релиза Firefox 67 будет предложено поделиться сведениями о работе с формами запроса полномочий. В ходе эксперимента разработчики Firefox намерены получить информацию как долго пользователь находился на сайте перед выводом запроса и накопить статистику для выявления злоупотреблений, которые можно блокировать.
Кроме того, в ночных сборках (http://nightly.mozilla.org/) на базе которых будет сформирован релиз Firefox 68, активирован (https://blog.nightly.mozilla.org/2019/03/15/these-weeks-in-f.../) по умолчанию (https://bugzilla.mozilla.org/show_bug.cgi?id=1514809) API UserScripts (https://wiki.mozilla.org/WebExtensions/UserScripts), позволяющий создавать на базе технологии WebExtensions дополнения в стиле Greasemonkey, позволяющие выполнить пользовательские скрипты в контексте web-страниц. Например, при помощи подключения скриптов можно изменять оформление и поведение просматриваемых страниц. Данный API уже входит в состав Firefox, но до сих пор для его включения требовалась установка параметра "extensions.webextensions.userScripts.enabled" в about:config. В отличие от имеющихся дополнений с похожей функциональностью, применяющих вызов tabs.executeScript, новый API позволяет изолировать скрипты в отдельных sandbox-окружениях, решает проблемы с производительностью и даёт возможность обрабатывать различные стадии загрузки страниц.URL: https://blog.nightly.mozilla.org/2019/04/01/reducing-notific.../
Новость: https://www.opennet.me/opennews/art.shtml?num=50442
А разрешение на кукисы там блокировать тоже можно? Достали так, что уже сил нет.
Для блокировщиков рекламы есть фильтр "I don't care about cookies".
> А разрешение на кукисы там блокировать тоже можно? Достали так, что уже сил нет.https://www.fanboy.co.nz/fanboy-cookiemonster.txt
Оно даже в старой мидори 0.5 (gtk-webkit 2.4) работает.
> в адресной строке будет отображаться индикатор поступления запроса, при клике на который можно посмотреть сам запросПочему бы так не делать всегда?
Это они и попытаются выяснить с помощью описанного эксперимента, очевидно.
Не раньше, чем так сделает Гугль в Хроме.
Иначе 95% пользователей будут уверены, что это ФайрФокс просто не умеет подписаться на сайты, как надо. А Хром хороший.
> API UserScriptsТам и этого не было? ©
А где оно хоть когда-то было?
В опере старой
В опере старой вроде никакого API для юзерскриптшв не было (включая GM_), а скрипты настраивались в about:config.
Нет. Там была именно нативная поддержка юзер скриптов, из коробки. Это потом уже появился тамперманки, и можно было шарить скрипты между браузерами.
Вообще-то userscriptы впервые появились в расширении для Firefox GreaseMonkey, именно с него фичу скопировал хромой и опера. И в них очень долгое время GM_API вообще не было, а на опере народ эксплуатировал уязвимость, обходящую Same-origin policy.
> А где оно хоть когда-то было?Midori?
Это не GM.api . Это API WebExtension для самой GM. Без него недоступен document-start, что сломало очень многие скрипты.
Капитан в треде.
Повышаю вас до майора.
А раз и навсегда заблокировать можно уведомления? Чтобы даже не спрашивал.
Настройки » Приватность и защита » Разрешения » Уведомения - ПараметрыВнизу галка.
> Настройки » Приватность и защита » Разрешения » Уведомения - Параметры
> Внизу галка.Спасибо
Джва года ждал. Полностью блокировать слишком кардинально, а вот такой алгоритм - супер.
Ты про сбор статистики, которая знает какие сайты ты посещаешь и какие кнопки на них нажимаешь? Уверен, пароли они тоже сохраняют и скоро будут предупреждать что твой пароль такой же, как и у 10% остальных пользователей Firefox, поэтому его желательно сменить.
Хромой-то уже так делает.
"Уверен" - это мало. вот тебе ссыль, докажи и выведи этих шельмецов на чистую воду. https://archive.mozilla.org/pub/firefox/releases/67.0b7/source/
Повырубал это, как только такая возможность появилась. Приходится иногда через хром заходить на такие сайты...ух как подгорает. Кукисы разреши, город подтверди, уведомления еще эти...
Специальный запрос на разрешение PUSH, и некоторых других действий, вообще не нужен!
Разрешение должно показываться при первой попытке отправить PUSH!
При этом если пользователь разрешил или запретил - то больше оно не должно отображаться, а если нажал на "Не сейчас" - то отбросить это уведомление и показать запрос при очередной попытке отправить PUSH!
Всё!
Зачем они изначально реализовали отдельный запрос привилегий?
Потому что:
1. пуш может произойти сильно попозже посещения сайта
2. тогда выйдет, что непосредственно операция подпимывания на пуши будет неявно разрешена и сможет быть явно отключена только по поступлении первого уведомления, что, конечно, неприемлемо
> API UserScripts, позволяющий создавать на базе технологии WebExtensions дополнения в стиле Greasemonkey
> в отличие от имеющихся дополнений новый API позволяет изолировать скрипты в отдельных sandbox-окружениях, решает проблемы с производительностью и даёт возможность обрабатывать различные стадии загрузки страницКто-нибудь пробовал уже? RuAdListJSFixes работает?
Джва года ждал!
Думал одного меня это достало до чертиков...
Отключаете js... И... Вуаля. Никаких напоминалок. Правда, есть "современные" сайты, который без js'а вообще показывают пустую страницу. Ну и фиг с ними...
В uBO есть кнопка "zap" с молнией, которая до следующего refresh убирает любой указанный элемент со страницы.
Иногда такая пустая страница - это оверлей, который можно удалить.
Согласно новости, мой любимый фуфлофокс знает на какие сайты я захожу, какие сообщения мне эти сайты выводит, куда и когда я нажимаю, что бы принять или закрыть какие-то сообщения, это не считая того что нам не известно.
И это на фоне лозунгов на сайте фарефокса
"Компания Mozilla считает, что обеспечение конфиденциальности является фундаментальным требованием для полноценной работы в Интернете."
Ты же сам записался добровольцем, если твой любимый фуфлофокс — бета.
Телеметрия и в релизе по-умолчанию включена.
> Телеметрия и в релизе по-умолчанию включена.В релизе совсем не те объёмы.
Всё равно нормальные люди применяют ghacks-user.js первым делом
Какой тупой манямирок у тебя ))На сайты заходит файрфокс, а ты лишь просматриваешь их благодаря файрфоксу. И сообщения показывает файрфокс. И нажимаешь ты на кнопочки в файрфоксе ибо без него тебе до сервера с сайтом как до луны раком. И как файрфокс должен не "знать" обо всём этом и при этом обеспечить тебе debily эти возможности?
> Какой тупой манямирок у тебя ))На сайты заходит файрфокс...Ну зачем же так жестоко рушить маньячный мир? :-)
Любимый Firefox также сообщает тебе об этом при первом запуске, и позволяет это настроить и отключить [1] (в основном; некоторые возможности отправки остаются, периодически сообщество хлестает их за это ссаными тряпками, что правильно, но в основном эти оставшиеся возможности если и проявляются, то соверешенно безобидно [2]).[1]: https://support.mozilla.org/ru/kb/otpravka-dannyh-o-proizvod...
[2]: https://www.opennet.me/opennews/art.shtml?num=49315
В одной портовой таверне какой-то бродяга обмолвился, что когда-то слышал от некоего учёного мужа, будто бы тот прочёл в старинной книге о том, как один купец, путешествуя со своим караваном по дальним странам, встретил человека, который был знаком с пользователем, использовавшим при веб-сёрфинге пуш-уведомления.
В пять рукопожатий уложились.
Некоторые используют instant messaging в браузере и это не так уже редко, непонятно только зачем это на обычных сайтах.
Никогда не пользовался этими уведомлениями, через них ничего полезного не может приходить.
не-не, не так, - ничего нужного им не стоит доверять! есть куча месенджеров заточенных под ленты с синхронизациями разной степени глубины, есть архаичные смски и почта, а уведомления в браузер тоже самое что в утюг, можно конечно, но зачем.
На примере реализации UserScripts очень забавно наблюдать за тем, как Мозилла сначала зарезала "слишком функциональные" XUL дополнения, а потом оказалось что WebExt слишком уж урезаны и теперь потихоньку приходится добавлять туда функционал чтобы ими можно было пользоваться.
Беда XUL-дополнений не в том, что они "слишком функциональные", а в том, что они имеют полный доступ ко внутренностям браузера. Поэтому 1) невозможно сделать стандартное API для дополнений, чтобы они не ломались в новых версиях браузера, 2) невозможно гарантировать стабильную работу браузера при установке пользователем кривых дополнений. Потому что очень обидно, когда глючат-тормозят дополнения, а на форумах все жалуются, что "огнелис тормозит, зато хром летает". Ну вот и сделали как в хроме.
>невозможно сделать стандартное API для дополнений, чтобы они не ломались в новых версиях браузераТам его как такового и не было.
>невозможно гарантировать стабильную работу браузера при установке пользователем кривых дополнений.
С вебэкстами, да и что греха таить, и с веб-страницами так же. Можно яваскриптом браузер завесть. Можно память выжрать. Можно rowhammer стриггерить. А можно делать то же самое, а в дополнение прибить хост напрочь, с перезагрузкой по кнопке reset, WebGLем.
Это не просто забавно наблюдать, это очень поучительно наблюдать. Особенно если сравнить с попытками выкатить с первой попытки законченный стандарт, со всеми теми возможностями, которые только можно представить. Скажем, сравнить это с историей PL/I.Есть такой мем: minimal viable product, за ним стоит религия, говорящая, что что бы ты не пытался сделать, ты должен начать с того, чтобы выкатить минимальную реализацию, которая делает только очень базовые вещи. А затем надо добавлять функциональность небольшими кусочками, так чтобы после каждого, получался бы новый продукт, который тоже вполне возможно использовать. Это очень умная мысль, за ней стоит много боли и страдания тех, кто пытался делать иначе, тех кто пытался сделать одним махом, не понимая реально глубин ограниченности человеческого интеллекта.
> "слишком функциональные" XUL дополнения
Их проблема была не избытке функциональности, а в недостаточной инкапсуляции. Приложения слишком глубоко лазали в браузер, чтобы достичь своих целей. Что ограничивало браузер в возможности развиваться, не ломая вещей.
Что значит "теперь"? Они изначально так и сказали, что будут добавлять новые фичи в WebExt. Им это было ясно с самого начала и они так и планировали. XUL они просто не потянули перенести на новый быстрый и экономный движок (по сравнению с Blink или что там сейчас в Chrome). И добавляют фичи они скорее от доброты душевной. Им этот 0.001% пользователей заковыристых дополнений вряд ли покроет денежные затраты. А всякие расширения нужные 99% пользователям Ad Block и Youtube Video Downloader работают и на урезанном API. С youtube видео качать можно вообще через GUI утилиты, так что единственное нужное для 99% расширение это Ad Block, да и тот не реализовали на уровне браузера полностью только из-за боязни быть засуженными рекламодателями.
Что-то такое подобное есть и в социально сети ВКонтакте. Там можно скрывать нежелательную ленту новостей или рекламу, которая раздражает на главной странице. Либо нажать "Пожаловаться" и определить уведомления как Спам.
А что толку то скрывать постфактум, акт раздражения уже состоялся. Ну скроешь, через небольшой промежуток времени новое говно вылезает и так бесконечно, уж года два с маниакальным упорством тыкаю "спам" и похер, лезет и лезет говно.
Спрашивается зачем было добавлять
Это может быть удобно, если это использовано веб-приложением по делу. Те же социалочки, могут сообщать тебе, когда с тобой кто-то пытается пообщаться.
Вот она - польза от телеметрии.И, кстати, неужели никто из разрабов на этапе добавления этих запросов не допёр, что они будут бесить большинство?
Очевидно, что нет. Они, вероятно, не предполагали, что каждый сайт будет считать своим долгом подписать каждого случайного мимопроходила на эти уведомления, чтобы потом тот, весь остаток своей жизни был бы вынужден иметь дело со спамом с этого сайта. Разработчики надеялись, что это будет дополнительной фичой на сайте, типа кнопки в которую пользователь тыкает, чтобы подписаться на уведомления. Но веб-разработчикам совершенно неинтересно ждать, когда пользователь тыкнет в кнопочку.
> Вот она - польза от телеметрии.
> И, кстати, неужели никто из разрабов на этапе добавления этих запросов не
> допёр, что они будут бесить большинство?Ну изначальная-то идея ведь неплохая, можно уведомлять о новой почте или что завершилась какая-то долгая операция. А вот к чему привело - другое дело, сейчас каждый второй сайт пытается подписать пользователя на PUSH не из-за тяги рассказать новости, а чтобы подсовывать потом рекламу. Варианты "монетизации PUSH" уже цветут и пахнут.
Push, webextentions и иже с ними отправляю в первую очередь в лес, зимой, грибы искать. Ибо толку от них - чуть, а вот выбешивают временами изрядно.
s/extentions/notifications/
А я не отправляю. Вырубил их нахрен в about:config.
Вроде пуши в настройках запрещал, а всё равно иногда вылазят