https://opennet.ru/openforum/vsluhforumID3/103431.html В популярном дополнении NoScript, используемом для блокирования выполнения нежелательного JavaScript-кода, выявлена (http://labs.detectify.com/post/122837757551/using-google-cloud-to-bypass-noscript) недоработка, которая позволяет организовать выполнение произвольного JavaScript-кода под прикрытием белого списка. NoScript по умолчанию разрешает выполнение скриптов, загруженных с доверительных ресурсов, помещённых в белый список. В список заслуживающих доверия ресурсов входит и домен googleapis.com, который используется не только для ресурсов Google, но и в работе публичных сервисов. <br><br><br>Для запуска своего JavaScript в обход NoScript атакующий может создать скрипт, разместив его в Google Cloud и установив прямую ссылку на storage.googleapis.com. Продолжив изучение белого списка исследователи пришли к выводу, что это не единичный случай. Например, присуствующий в белом списке домен zendcdn.net был освобождён и его удалось купить (http://thehackerblog.com/the-noscript-misnomer-why-should-i-trust-vjs-zendcdn-n https://opennet.ru/openforum/vsluhforumID3/103431.html#55 Mon, 03 Aug 2015 19:44:06 GMT На кофескрипте, да. Я лично тоже считаю что странный язык. Вообще люблю статически типизированные языки. Но случалось кодить и на совсем диких/уродливых скрипто-языках лишь бы заставить действительно хорошую штуку работать.<br><br>На самом деле, возможно вы правы. Я вот привык терпеть дурацкие интерфейсы лишь бы получить что-то что ценно по другим признакам. Но это годится не всегда и выборочное самоограничение развивается со временем.<br> https://opennet.ru/openforum/vsluhforumID3/103431.html#54 Mon, 03 Aug 2015 19:29:47 GMT &gt; Ну вот значит всё в ваших руках: можете вообще не пользоваться этими <br>&gt; CORS-блокировщиками, а можете взять Policeman / uMatrix и поправить мешающие баги. <br>&gt; Вполне нормально для мира открытого софта, если у вас есть какой-нибудь <br>&gt; навык в программировании (или есть ощутимый стимул).<br>&gt; К слову, я в Policeman только один баг видел: всплывающее окно иногда <br>&gt; слишком раздувается, становится не видно кнопку. security-багов не замечал.<br><br>Policeman на Coffeescript написан :-/ <br><br>Багов полно я уже наловил. В каких-то случаях не показывает плейсхолдер заблокированного объекта. Если добавить своё правило, блокирующее любые объекты, то пункт меню "загрузить объект" перестаёт действовать. А ещё нет возможности скопировать адрес заблокированного элемента. Один из багов я зарепортил, но вижу что смысла в этом нет, проект заброшен.<br> https://opennet.ru/openforum/vsluhforumID3/103431.html#53 Mon, 03 Aug 2015 19:18:32 GMT Ну вот значит всё в ваших руках: можете вообще не пользоваться этими CORS-блокировщиками, а можете взять Policeman / uMatrix и поправить мешающие баги. Вполне нормально для мира открытого софта, если у вас есть какой-нибудь навык в программировании (или есть ощутимый стимул).<br>К слову, я в Policeman только один баг видел: всплывающее окно иногда слишком раздувается, становится не видно кнопку. security-багов не замечал.<br> https://opennet.ru/openforum/vsluhforumID3/103431.html#52 Mon, 03 Aug 2015 19:11:18 GMT &gt; Всё в ваших руках: установите policeman/umatrix и убедитесь что всё работает.<br>&gt; Нееемного не так удобно как было при ILO (надо лишний раз втопить <br>&gt; F5), выше входной порог (поизучать надо), но вполне приемлемо.<br><br>uMatrix не годится, т.к. у него нет плейсхолдеров, из контекстного меню которого можно было бы выбрать "показать этот элемент". Policeman это имеет, но он глючный и похоже что не развивается, в багтрекере куча багов, активности нет.<br> https://opennet.ru/openforum/vsluhforumID3/103431.html#51 Mon, 03 Aug 2015 19:07:16 GMT Всё в ваших руках: установите policeman/umatrix и убедитесь что всё работает.<br>Нееемного не так удобно как было при ILO (надо лишний раз втопить F5), выше входной порог (поизучать надо), но вполне приемлемо.<br> https://opennet.ru/openforum/vsluhforumID3/103431.html#50 Sun, 05 Jul 2015 22:41:25 GMT &gt; с тупизной браузера -- очень хорошо борется -- отсутствие плагинов и расширений... :) <br><br>Но только до тех пор пока 20 сайтов не пустят в фоне 20 скриптов. Тогда браузер будет тупить без расширений и дополнений. А вот с расширениями и дополнениями, срезавших 90% рекламной шелухи, браузер будет тупить в 10 раз меньше. Потому что его не грузят левые скрипты тасовки рекламы и анноянса.<br><br> https://opennet.ru/openforum/vsluhforumID3/103431.html#49 Sun, 05 Jul 2015 22:38:33 GMT &gt; тут же на примере одного сайта распространить эти правила на все <br>&gt; остальные без лишних напрягов.<br><br>Я это делаю как-то так, примерно 3 "рулеса" uMatrix на все: <br><br>www.youtube.com - может куки, картинки, css, js и XMLHttpRequest ("XHR").<br>s.ytimg.com - может картинки, css и js<br>googlevideo.com (именно так, весь 2nd level т.к. там много серверов с дурным именем) - может "other" (то-есть собственно показ видео).<br><br>Это для "HTML5, без DASH/MSE". При этом видео играется, но все что может шевелиться - удавлено довольно кардинально. Ну то-есть работает видео и минимум скриптов делающих плеер живым. И поштучно их прописывать было бы как-то зело утомительно.<br><br>&gt; Но в уМатриксе нет возможности(?) включать отдельные элементы на странице ...<br><br>Он субдоменами оперирует. Это несколько дубовее, но сильно практичнее с точки зрения баланса "время настройки vs удавливание нежелательной активности". У меня например дефолтные рулесы очень злые и 1st party (явно запрошенный сайт) может куки, картинки и css. А остальные - https://opennet.ru/openforum/vsluhforumID3/103431.html#48 Sun, 05 Jul 2015 22:18:45 GMT &gt; От неё некуда деться в Palemoon/Seamonkey <br><br>Ну так если что-то не работает - надо попинать Gorhil'а или разработчиков форка чтобы починили :). <br><br>&gt; Насчёт uMatrix спорить не буду, так как смотрел очень по диагонали.<br><br>А напрасно. Хорошая штука. Гибко и логично сделано и в лучших традициях Gorhil'а - не тормозит.<br><br> https://opennet.ru/openforum/vsluhforumID3/103431.html#47 Fri, 03 Jul 2015 18:36:18 GMT версия сабжа а не айпишник, явственно.<br>