Разработчики Mozilla представили (https://blog.mozilla.org/security/2014/02/28/update-on-plugi.../) план по переходу к полному блокированию по умолчанию всех плагинов в Firefox и отображению связанного с плагинами контента только после клика (Click to Play). Функция показа после клика была добавлена в Firefpox 26, но она распространяется только на Java и устаревшие версии NPAPI-плагинов. В будущем планируется перейти к блокированию по умолчанию всех плагинов, за исключением добавленных в специальный белый список.
Белый список является компромиссным решением, призванный дать разработчикам небольшую отсрочку для перехода от плагинов к штатным web-технологиям. По мнению Mozilla современное состояние браузерных движков и web-технологий, а также появление таких средств, как emscripten и asm.js, позволяет реализовать все необходимые возможности без специальных плагинов. Применение же плагинов является слишком большой ценой для пользователей, так как плагины нередко становятся причиной проблем с производительностью, стабильностью и безопасностью.Для помещения плагинов в белый список разработчикам придётся выполнить ряд условий (https://wiki.mozilla.org/Plugins/Firefox_Whitelist), в том числе представить план ухода от использования NPAPI-плагинов в пользу стандартных web-технологий. Для того, чтобы стимулировать разработчиков плагинов к выполнению представленного ими плана, плагины будут помещаться в белый список только на время 4 выпусков Firefox, после чего они будут удалены из белого списка, а разработчикам придётся повторно отправлять заявку.
Для того, чтобы успеть попасть в белый список до включения блокирования плагинов по умолчанию, заявку на помещение в белый список следует отправить до 31 марта, в этом случае плагин успеет пройти рецензирование и тестирование в бета-ветке до выхода первого релиза Firefox, в котором будут применены новые правила блокирования плагинов.
Можно отметить, что Google намерена (http://www.opennet.me/opennews/art.shtml?num=38817) полностью прекратить поддержку NPAPI-плагинов уже в следующем выпуске Chrome для Linux, но при этом полностью не отказывается от плагинов и продвигает для них собственный интерфейс PPAPI. В связи с этим, разработчикам плагинов придётся для сохранения аудитории сформировать вариант своих продуктов на базе PPAPI, но Mozilla пока не планирует (https://bugzilla.mozilla.org/show_bug.cgi?id=729481) включить поддержку PPAPI в Firefox. Таким образом, плагины понемногу вытесняются из Web и разработчикам сайтов и web-приложений становится более выгодней использовать штатные Web-технологии.URL: https://blog.mozilla.org/security/2014/02/28/update-on-plugi.../
Новость: http://www.opennet.me/opennews/art.shtml?num=39223
>>по умолчанию всех плагинов в Firefox и отображению связанного с плагинами контента только после клика (Click to Play).А оперу за такую фигню ругали.
Невозможно ругать закрытое приложение, над ним уже разработчики надругались.
Что мешает плагину добавить себя в белый список?
Процедура ручного рецензирования и подтверждения качества.
>> Что мешает плагину добавить себя в белый список?Мешает полный запрет всех плагинов вообще.
«Белый список» — не гарантирует никому и ничего.
Не говоря уже о том, что попасть в него нельзя :) — читай сначала
ХЗ. Поверка подписей или типа того?
>Для помещения плагинов в белый список разработчикам придётся выполнить ряд условий, в том числе представить план ухода от использования NPAPI-плагинов в пользу стандартных web-технологий. Для того, чтобы стимулировать разработчиков плагинов к выполнению представленного ими плана, плагины будут помещаться в белый список только на время 4 выпусков Firefox, после чего они будут удалены из белого списка, а разработчикам придётся повторно отправлять заявку.Мозилла, при всей моей любви к тебе, ты ведёшь себя как Моська. А вот за белый список плагинов отдельное спасибо
В мире на сегодня всего 3 браузера и Firefox один из них.
> В мире на сегодня всего 3 браузера и Firefox один из них.+1, грустно это... хотя некоторые похоже форки хрома за отдельные браузеры считают
> как МоськаА слон кто?
>> как Моська
> А слон кто?Опера же :)
У плагинов в их нынешнем виде (как отдельный процесс) есть замечательный плюс - если что, можно этот процесс просто прибить, при этом страницы в основном не ломаются. А вот пришибить джаваскрипт с мемори ликом, ненароков выжравший всю память или проц,часто куда как сложнее
Ткнуть на крестик в закладке не сложнее. Другое дело что в ФФ интерфейс и движек на одной машине/ядре крутятся. Но это как бы недостатки архитектуры и их надо лечить.
> Ткнуть на крестик в закладке не сложнее.сложнее найти куда ткнуть.
>А вот пришибить джаваскрипт с мемори ликом,ну мазила умеет на такое реагировать и предлагает прекратить выполнение скрипта если он тормозит. но согласен что пришибить процесс плагина работает более эффективною
>выполнение скрипта если он тормозитк этому моменту уже тормозит уже вся система (привет 12309)
Белый список... заявки... "чтобы ваш плагин включили в список, напишите план, как скоро он станет не нужен", ага...Проще Click-to-play кликать каждый раз и всё. Он для этого и нужен. Нафига ПОЛЬЗОВАТЕЛЯМ этот белый список?
А они тут при чём?
Речь не о них.
Так в том то и дело, что пользователи при разработке браузера уже совсем не причем...
Ну так это больше для владельцев и разработчиков сайтов. Если много таких их попросят попридержать выключении флэша и скажут, вот мы планируем избавиться от него на нашем сайте тогда-то, то они его оставят в белом списке на время, но если к следующему разу заявок уже правктически не будет, то и флэш оттуда удалят. А пользователей это мало коснётся так-как все популярные сайты обновятся. В крайнем случае один лишний клик добавится в некоторых местах вроде kongregate.
>Если много таких их попросят попридержать выключении флэша и скажут, вот мы планируем избавиться от него на нашем сайте тогда-то, то они его оставят в белом списке на время, но если к следующему разу заявок уже правктически не будет, то и флэш оттуда удалят.Владельцы сайтов на флеше могут просто послать мозиллу. Многие (и не побоюсь этого слова — большинство) пользователи не придают идеологии соблюдения веб-стандартов большого значения. И если из-за быдлoкодеров они получают некоторые неудобства, которых раньше не было, то это вина совсем не пользователя.
Проигнорировать 20% всех посетителей? Ну-ну.
И речь идёт не о совсем упоровшихся и сделавших весь сайт на флэше. Такие сайты сами сдохнут (или будут тормозить на Shumway'е). Придумать что-то боле неудобное довольно сложно. Вот что с браузерными играми делать — вот в чём вопрос. Эти фиг почешутся.
>Проигнорировать 20% всех посетителей?Почему сразу «отказаться»? Сколько среди них будет настолько упорoтыми, что откажутся от сайта в угоду непонятным принципам? Большинство просто скажут что это «мозила глючит», а не «сайт кривой», потому что «вон там в опере всё работает».
>Такие сайты сами сдохнут (или будут тормозить на Shumway'е).
С чего это? См. выше.
> Сколько среди них будет настолько упорoтыми, что
> откажутся от сайта в угоду непонятным принципам? Большинство просто скажут что
> это «мозила глючит», а не «сайт кривой», потому что «вон там
> в опере всё работает».Я даже не знаю о ком ты сейчас говоришь - о посетителях или о разработчиках сайтов…
> С чего это? См. выше.
Да они и так благополучно сдохли в большинстве своём из-за угрёбищного управления и неудобств с копированием текста, и прочими заморочками вроде отсутствия сохранения состояния между сессиями браузера. Такое убожество можно у художников на персональных страничках встретить и ещё некоторых оригиналов. Единственная ниша, где флэш живёт и процветает, это браузерные онлайн-игры.
Неужто он? Flashкапец.Основная отмазка же в таких массовых продуктах - эти пользуются N% пользователей. А при отключении по умолчанию, пользоваться будут только 1% осиливших/захотевших включить.
> А при отключении по умолчанию, пользоваться будут только 1% осиливших/захотевших включить.Ограничение будет в click-to-play по умолчанию. То есть будет такой серый прямоугольник вместо флэша с надписью "Чтобы запустить, кликни сюда". Нет, ну может, конечно, кто-то и не осилит...
> Ограничение будет в click-to-play по умолчанию. То есть будет такой серый прямоугольник
> вместо флэша с надписью "Чтобы запустить, кликни сюда". Нет, ну может,
> конечно, кто-то и не осилит...Да, лучше клик заменить на ручной ввод текста "Да, я рисковый чувак, и я не боюсь запускать кривой, тормозной и глючный флеш. В случае каких-либо багов, претензий к Mozilla не имею."
>Неужто он? Flashкапец.Скорее мозилокапец. Выбор остаётся за пользователем, и он может использовать браузер, который доставляет меньше неудобств.
Вообще-то в обычном серфинге выключенный по умолчанию флеш - это как раз удобство...
>выключенный по умолчанию флеш - это как раз удобство...Это решать пользователю. Я вот не выключаю. Весь ненужный флеш режет адблок, остальное не мешает.
> Это решать пользователю. Я вот не выключаю. Весь ненужный флеш режет адблок, остальное не мешает.95% пользователей не хотят ничего решать, они хотят чтоб сразу было зашибись.
А по-моему будет здорово, если Flash будет по-умолчанию отключён. Это наверное наиболее уязвимый компонент в системе, и всё-таки лучше забыть его включить, чем забыть отключить...
все правильно
Хорошо бы сделали какой-то портабельный комплект из фаерфокса, флеша и джавы, которые работают по старому. Для использования с древними программами и железками
На которвые производитель давно забил, которые никогда не будут обновлены — но которые будут служить ещё 5 иили 10 лет, и в которых используются флеш, жава, апплеты, плагины, и старые алгоритмы и протоколы шифрования — в общем всё то, что стали стремительно выпиливать из актуальных браузеров в течении последнего года.
> выпиливать из актуальных браузеров……и самого интернета.
Ну вот обмажешься ты всем этим говном по самые уши, выйдешь в инет, а там на всех популярных сайтах только баннеры «обновите ваш браузер или не судьба».
Нет, конечно форумы с чатиками на Java-апплетах (лол, такое уродство до сих пор есть) и музыкальные свалки через флэш-плеер будут ещё жить некоторое время, но толку-то?
>Нет, конечно форумы с чатиками на Java-апплетах (лол, такое уродство до сих пор есть) и музыкальные свалки через флэш-плеер будут ещё жить некоторое время, но толку-то?А с чего это вы решили что пользователь откажется именно от флеша? Он может и от мозилы отказаться, сославшись на то что «новая версия более глючная, потому что в ней плохо работает то, что в том же хроме работает на „ура“».
Ты не понял. Предполагается, что от флэша уйдёт большинство сайтов, а пользователи изменений особых на большинстве сайтов и не заметят — там ведь уйдёт с флэша и когда он окончательно окажется забанен всё будет работать как работало.
>Предполагается, что от флэша уйдёт большинство сайтоЭто предполагается. А каковы же предпосылки для этого?
Я же сейчас выскажусь почему _я_бы_ не стал этого делать (всего лишь я, возможно ещё кто-то будет думать так же.
1. Зачем переделывать кучу уже проделанной работы? Не вижу плюсов кроме идеологии. особено некоторые онлайн-игрушки пострадают. Там море контента. Ещё раз — зачем?
2. Опять же, далеко не факт что от связки яваскрипт + свг производительность будет лучше.
3. яваскрипт + свг не позволяет скрыть код разработки. Не всем это понравится.
4. флешвидео и флешмузыка для большинства пользователей скачиваются неочевидно, а, зачастую, с проблемами, что опять таки может защитить материал.
5. Намного проще блокировать браузер, чем тратить человекочасы на переделку работы.У меня отключены куки, и есть сайты, которые без них не работают. И разработчиков это не волнует, приходится включать. Почему логика для явы, флеша и прочих сильверлайтов будет иной?
> Хорошо бы сделали какой-то портабельный комплект из фаерфокса, флеша и джавы, которые работают по старому.... и предоставляют любому желающему широко открытый вход на твою машину через давно известные эксплойты. Да, это было бы очень хорошо - для ботнетчиков.
Почему на самом деле все избавляются от NPAPI? Столько лет всё работало и все довольны были, а тут раз и на тебе.
Работало — да, а вот кто тебе сказал, что все довольны были?Ну вот, например, одна из крупнейших проблем NPAPI это то, что плагины запускаются с излишним количеством привилегий, что привело к огромному количеству вирусов, распространяющихся через дыры в плагинах. Ситуация дошла до такого абсурдного состояния, что в самом флэше запилили сэндбокс для него самого же (как в самом популярном решете), хотя в теории сам браузер должен бы их так запускать. Вот Гуглу и пришлось создавать новое API, а в Mozilla вообще решили похоронить все плагины (и правильно сделали).
У мозиллы нет денег на своё API. К тому же, все их силы до сих пор сосредоточины на FirefoxOS, что гораздо выгодней браузера.
Если б они хотели своё API, то сделали б его. Делать свой язык программирования им ничто не мешает, например. Они хотят уничтожить плагины вообще.
> Столько лет всё работалоЛожь. Флеш выпускался только под ограниченное число систем и архитектур, вне этого списка он не работал. Под FreeBSD, например, он хоть как-то работает только благодаря Linux эмуляции, и для работы требует установки линуксового мyсора. На OpenBSD, NetBSD, и PPC/ARM/MIPS оно нe работает, скорее всего, вообще никак.
> и все довольны были
Ложь. Оно всегда пaдало, тoрмозило, жрало память и было дыряво как рeшето. Доволен никто не был, некоторым было просто пoх*й.
А как же свободная реализациия Flash на JS?
Отлично, давно пора.
Только не закидывайте меня сразу, но я хочу задать вопрос.А как же flash? Я знаю что "нинужно" и дальше по тексту. Но ведь хомячий народ не может без него пока.
Оу. И как жить вещам для квалифицированной ЭЦП, которым надо работать с ключом в USB-токене? Тоже переходить на "стандартные уёб-технологии"?
На основе Web Crypto API что-то пилили для работы с ключами на USB токенах.
> Оу. И как жить вещам для квалифицированной ЭЦП, которым надо работать с
> ключом в USB-токене? Тоже переходить на "стандартные уёб-технологии"?Решение простое, нужен другой браузер.
> Оу. И как жить вещам для квалифицированной ЭЦП, которым надо работать с
> ключом в USB-токене? Тоже переходить на "стандартные уёб-технологии"?как ни печально, один из вариантов - осёл на вантузе, мдя....
> Оу. И как жить вещам для квалифицированной ЭЦП, которым надо работать с ключом в USB-токене? Тоже переходить на "стандартные уёб-технологии"?ЭЦП и web-браузер -- это вещи несовместимые друг с другом (в контексте соблюдения безопасности).
пусть банки используют httpS-протокол (и подтверждение по сотовому телефону, например). а USB-брелки пусть себе в жопу засовывают, так как безопасности они НЕ добавляют в случае когда к ним есть доступ через web.
если web-сайт банка смог получить доступ к твоему USB-брелку ---- то почему ты думаешь что другой web-сайт (не банка) не сможет это сделать?ты разрешил web-сайту банка использовать NPAPI, потому что доверяешь web-сайту банка? ну тыг злоумышленники тоже сделают тебе +ещё+один сайт которому ты будешь тоже доверять.. :)
Эксперт с мировым именем. Ты про двухфакторную авторизацию слышал?
Я конечно всё пониманию, NPAPI - зло, и всё такое, но почему Mozilla продолжает продаваться конкретным участникам рынка со своими чёрными и белыми списками? Ну право - это выглядит гнусно. Либо все плагины должны работать, либо все по-умолчанию блокироваться.>> По мнению Mozilla, современное состояние браузерных движков и web-технологий,
>> а также появление таких средств, как Emscripten и Asm.js,
>> позволяет реализовать все необходимые возможности без специальных плагиновКакой бред! Если бы "современного состояния браузерных движков" было достаточно для решения всех задач, то моего плагина не существовало бы.
Хотя какая разница - всё равно зря потраченное время разработки.
> Какой бред! Если бы "современного состояния браузерных движков" было достаточно для решения
> всех задач, то моего плагина не существовало бы.
> Хотя какая разница - всё равно зря потраченное время разработки.ты про это? https://github.com/gkv311/sview ?
вообще-то HTML5 мощностей хватает чтобы проиграть видюшку внутри <canvas> (с учётом добавления в ней эффектов)
ищи тут -- http://www.chromeexperiments.com/tag/video/
вот например -- http://uglyhack.appspot.com/videofx/ [ http://goo.gl/hXqbzK ]
Меня не интересует декодирование видео - для этого есть другие средства.Для корректной поддержки некоторых устройств нужно больше информации, такой как абсолютная позиция элемента на мониторе (чересстрочные мониторы), доступ ко всяким убогим хакам в D3D от NVIDIA/AMD/Intel (между тем, WebGL даже не заикается о Quad Buffer), создание второго окошка вне браузера с синхронизацией позиции (для малопопулярных зеркальных систем) и многого другого.
Я был бы рад, если бы производители браузеров сами решали эти проблемы, но им они малоинтересны - и тем не менее они заявляют, что плагины не нужны никому.
>отображению связанного с плагинами контента только после клика (Click to Play)Я надеюсь, что это таки будет "Click to Play". Потому что сейчас это "Click, мышкой в левый верхний угол на кнопку Allow, Click to Play", что дико раздражает. Напоминает времена винды с её "вы точно хотите?", "вы уверены?", "вы в здравом уме?", "скажи пожалуйста".
>>отображению связанного с плагинами контента только после клика (Click to Play)
> Я надеюсь, что это таки будет "Click to Play". Потому что сейчас
> это "Click, мышкой в левый верхний угол на кнопку Allow, Click
> to Play", что дико раздражает.ни в коем случае! ни когда в жизни!
злоумышленник мог бы сделать невидимую область плугина (0.001% видимости), на которую пользователь СЛУЧАЙНО щёлкает (не зная что это область от плугина).
например: написанно "Регистрация", а на самом деле сверху находится невидимый плугин.
поэтому -- при щёлчке мышкой в областе плугина -- должна открываться менюшка именно в левом верхнем угле.
Ага, мне нравится как сейчас работает "система" в Firefox - разрешаешь плагин в одном месте, а вместо этого грузится разом 100ня объектов на всей странице.
> Ага, мне нравится как сейчас работает "система" в Firefox - разрешаешь плагин в одном месте, а вместо этого грузится разом 100ня объектов на всей странице.если это был сарказм -- то ниже я разжую тебе всё! :)
эта функция нужна НЕ ДЛЯ блокирования flash-рекламы на сайтах. и ВООБЩЕ не для блокирования КАКОЙ-ЛИБО рекламы.
эта функция нужна чтобы обезапастить тебя от вредоносного действия плагинов!
не нужно использовать эту функцию ("разрешить plugin на этой странице") на тех web-страницах которым ты не доверяешь ---- и в этом случае всё становится на свои места.
> эта функция нужна чтобы обезапастить тебя от вредоносного действия плагинов!Любопытно, каким образом ты можешь обезопасить себя, если разрешая запуск плагина увидишь одну копию с интересующим тебя контентом, и 10 скрытых копий, совершающих какой-нить DDOS?
Или снова возвращаемся к белым и чёрным спискам и будем блокировать блокированное для сайтов не в белом списке? Это прям как Symantec недавно меня обескуражил - загрузил одну и туже инсталляшку (идентичную) с двух разных сайтов и в одном случае он промолчал, а в другом - кричал и угрожал, что файл МОЖЕТ быть опасным (фактически дублируя сообщение винды о неподписанном экзешнике).
Может я, конечно, и заблуждаюсь, но мне кажется, что безопасности оно способствует незначительно.
> Любопытно, каким образом ты можешь обезопасить себя, если разрешая запуск плагина увидишь одну копию с интересующим тебя контентом, и 10 скрытых копий, совершающих какой-нить DDOS?таким что не стану разрешать запуск плагина -- на сайте который выглядет как подозрительный (по савакупным характеристикам).
гарантия не 100% -- но это лучше чем ничего.
и разумеется намного лучше (безопаснее) чем ситуации когда бы мы указывали бы какие элементы разрешать а накие не разрешать. это была бы ещё-бОльшая псевдо-безопасность :) ..
пользователь должен СОВЕРШЕННО ЧЁТКО понимать что политика безопасности основывает на web-доменах, а не на конкретных элементах страницы.. почему? потому-что web-мастер имеет доступ к любой части web-страницы. и если web-мастер оказался злоумышленником -- то значит любая часть web-страницы может оказаться опасной.
**************************************************
вот смотри пример!
ты защёл на подозрительный web-сайт.. (то есть -- тебе этот web-сайт УЖЕ кажется подозрительным).
на web-сайте есть центральный plugin-элемент и ещё +какоето+количество невидимых plugin-элементов.
возникает вопрос: с чето ты взял что центральный plugin-элемент является безопасным, а опасность находится именно в скрытых невидимых plugin-элементах? быть может -- опасность именно в центральном plugin-элементе?
Плохо. Просто отключаю флеш и вся реклама и прочая мишура на флеше автоматом отсекается. Теперь же будут всю эту порнографию на js, а это уже так просто не отключишь.
> Плохо. Просто отключаю флеш и вся реклама и прочая мишура на флеше
> автоматом отсекается. Теперь же будут всю эту порнографию на js, а
> это уже так просто не отключишь.NoScript + некоторая его дрессировка в помощь
Вообще-то "вся реклама и прочая мишура" прекрасно режется АдБлоком по тому адресу, с которого она грузится. Как она будет пытаться загрузиться, флешем или скриптом - безразлично.
Из статьи не понятно - будет ли у пользователя возможность самому добавить тот или иной плагин в белый список.
На пример до сих пор не знаю можно ли разрешить переадресацию для определенных сайтов. Если она есть то она не очевидна. Бывает не часто - и я не заморачивался пока но ведь бывает. И метода отключить ее по сайтно я не видел.
т.е. Unity, Java, Flash будут тупо скрыты по умолчанию ?
В чем писать приложения для браузера ? Я кроме Sencha Touch не знаю вроде ничего, что выдает голый JavaScript. Ну не писать же совсем на голом JavaScript в Notepad..?
> не писать же совсем на голом JavaScript в Notepad..?разумеется это не обязательно! зачем же так утруждать себя программированием?!
можно например стоять на кассе, или устроиться охранником :-)..
или преподавателем в ВУЗ :-) [на техническую специальность -- рассказывать студентам сказки о том как программировать web-приложения]