Hlavní navigace

Názor k článku Postřehy z bezpečnosti: e-mail na rozloučenou od Filip Jirsák - Uživatelský zákaz JavaScriptu v prohlížeči je v tomto...

  • 3. 8. 2021 10:24

    Filip Jirsák

    Uživatelský zákaz JavaScriptu v prohlížeči je v tomto případě k ničemu. U webových klientů potřebujete umět zakázat JavaScript jen uvnitř kódu e-mailu (což dnes díky CSP jde – v prohlížečích, které CSP podporují, což jsou dnes všechny). U desktopových aplikací, které používají pro zobrazení e-mailu jádro prohlížeče, to pro zobrazení potřebujete umět vypnout programově, což nevím, zda příslušné embedované prohlížeče umí. No a pak je tu editace HTML e-mailu (třeba když odpovídáte), kterou zase bez JavaScriptu v prohlížeči neuděláte. Takže by bylo potřeba umět tomu embedovanému prohlížeči říct to samé, co umí CSP – tedy „tyhle skripty můžeš spouštět, nic jiného ne“. Nevím, zda jsou embedované prohlížeče až takhle konfigurovatelné, když jsem je zkoumal před pár lety, neuměly nakonfigurovat ani mnohem základnější věci. A vzít jen samotné jádro a prohlížeč a editor e-mailů postavit kolem něj (podobně, jako kolem jádra Vivaldi nebo Internet Explorer postaví svůj prohlížeč), to není žádná legrace.