В связи с развернувшимся конфликтом (http://www.opennet.me/opennews/art.shtml?num=21565) между авторами расширений AdBlock Plus и NoScript, представители Mozilla предложили (http://blog.mozilla.com/addons/2009/05/01/no-surprises/) внести в соглашение для разработчиков дополнений ряд новых требований. В частности, если дополнение изменяет домашнюю страницу, параметры поиска или настройки других расширений, то должно выполняться три условия: в описании расширения подобные изменения должны быть явно документированы; все подобные изменения должны быть опциональны с возможностью отключения внесенных настроек; после удаления расширения все настройки должны быть возвращены в изначальное состояние.URL: http://blog.mozilla.com/addons/2009/05/01/no-surprises/
Новость: http://www.opennet.me/opennews/art.shtml?num=21592
А можно как-то сделать, чтобы расширения не открывали табов со своими страничками после обновления? Расширений много, и "бла-бла-бла обновилось!!! ура!!" порядком достают.
>Это правильно. За такие выходки надо вообще руки ломать.Категоричность это конечно круто. Но поймите, чем больше жёсткости и контроля - тем больше ответственности, и тем больше нужно эту жёсткость и контроль компенсировать. Иными словами, если правила написания расширения будут слишком ужесточены, то это ударит по писателями расширений, по их желанию это делать. И тогда мозилле самой придётся всем этим заниматься, платить писателями расширений например.
Конечно, решать острые проблемы надо, но не более.
Иными словами, если правила написания расширения будут слишком ужесточены, то
>это ударит по писателями расширений, по их желанию это делать. И
>тогда мозилле самой придётся всем этим заниматься, платить писателями расширений например.Я думаю, что правило: "создавай расширение так, чтобы оно не вредило браузеру и другим расширением" не такое уж "жестокое" и не отобьет желания писать расширения у ПРЯМОРУКИХ программистов :)
За такие выходки со стороны Noscript`f надо вообще запрещать им свои расширения выкладывать.
Ну а что-то подобное и сделали поначалу видимо :) во всяком случае, на сайте ноускрипта весьма забавная надпись - у вас дескать старый аддон, видимо мозилла еще не обновила наш аддон у себя на сайте.Т.е. видимо хвост им за данную деятельность все-таки прищемили в том числе и мозильщики.
это ещё фигня. вот когда расширение выкидывает на странницу где кнопки "дай 5 баксов" и "дай 10 баксов" на самом видном месте....
Забыли важное: об изменении настроек должно явно сообщаться пользователю.
Кстати, тема. Насколько сильно вообще аддонами нагадить можно?Со временем наверняка появятся какие-нибудь "ускорители интернета" и "плагины для доступа к сайту". Многие ведь поставят не из трастового источника. Какое раздолье для фишеров :)
>Многие ведь поставят не из трастового источника.Чтобы поставить таким макаром - надо достаточно много кнопочек нажать.
>Какое раздолье для фишеров :)
По дефолту разрешена установка только с addons.mozilla.org и updates.mozilla.org. Прописать других конечно, можно, но для фишеров - достаточно геморройный вектор атаки.Куда проще троян в письме прислать который запустится после открытия чем сподвигнуть юзера сперва прописать их а только потом появится шанс установиться.
С таким же успехом можно левые деб- и рпм- пакеты раздавать, например.Т.е. в теории то конечно можно но обычный туповатый юзер не сообразит как прописать новый доверяемый ключ а те кто знает как это сделать - не будут лажу всякую качать.Попытки проабузить приведут к резонной подтяжке гаек (например ничто не мешает мозилле вбахать схему с цифровыми подписями и доверяемыми ключами как в пакетных манагерах и пущай юзер если доверяет - сам новые доверяемые паблик ключи прописывает, это будет куда геморройнее чем просто урлу добавить и соответственно - отсеет идиотов которые это необдуманно делают от тех кто натурально хочет оверрайднуть безопасность с дефолтов на свой зад). На самом деле все просто - засунуть прописывание доверяемых ключей глубоко в настройки. А по дефолту показывать при установке подписанных неправильным ключом аддонов ФИГУ.В итоге фишерье будет сосать при сохранении возможности поставить аддон не только с сайта мозиллы если уж реально приперло :)
Многа букф.Тот же плагин для evernote ребята раздают с собственного вебсайта. У фаерфокса достаточно просто кнопочку нажать лишний раз, что хочешь продолжить.
Плюс у всех перед глазами пример, когда один мудозвон целенаправленно использовал аддон с базой в несколько сотен тысяч пользователей для "собственных" целей.
Эт конечно хорошо, что вы знаете такие умные вещи, как подписи deb-пакетов, но я говорю о более близких к жизни вещах.
Код аддонов выполняется без ограничений. То есть может использовать любые открытые xpcom интерфейсы, в том числе интерфейсы для работы с ФС, сетью, реестром Windows, и т. д.
Ох... Спасибо.Надеюсь, что в мозиле организуют какие-то разумные меры безопасности по контролю предлагаемых аддонов. Уже пора.
Лично мне даже не обязательно, чтобы это было бесплатно.
Всё как в жизни - предписания к технике безопасности пополняется после какого-либо несчастного случая.
А Mozilla не существует, это что-то далёкое и виртуальное?
Погуглил что такое noScript. Не понимаю, зачем люди мучаются с Windows, в котором можно делать всё и без проблем, но только если предварительно 6 часов настраивать, и с FireFox, но который ещё надо расширить дополнением. Убунтоиды, не знающие браузеров кроме FireFox и Opera и IE6 - молчите. Он дополняемый, и это хорошо! Но нет, чтобы использовать другой браузер, свободный от глюков вроде замедленной загрузки, который грузит сразу и как надо - нет - скормим ему дополнение, которое всё перекосит и поломает, зато грузить будет сразу. Я понимаю использующий быстрый Интернет и этого неудобства не встречающих - но пользователей noScript, популярного плагина, знаете сколько?! Я их не понимаю. Ознакомился с историей noScript недавно, до новости ничего о нём не слышал, поправьте, пожалуйста, если я где-нибудь, по вашему, не прав.
так какой же браузер предлагает использовать Аноним?
Да наверно lynx/links :-)