Názory k článku
Novinka v Chrome 139: vlastné CSS funkcie
-
Uff. Že třeba vy nevíte co jsou v CSS funkce a výpočty pochopím, to je naprosto v pořádku. Ale jak, proboha, můžete dostat dalších třiadvacet plusů?
CSS funkce jen prostě umožňují znovupoužitelnost toho, co v CSS dávno je (třeba https://developer.mozilla.org/en-US/docs/Web/CSS/calc a další). Měl jste doteď dojem, že je to bezpečnostní riziko? Celé je to funkčně omezený DSL stejně, jako celé CSS. Není to univerzální jazyk. S JavaScriptem ani s jQuery to nemá skoro nic společného, je to určené pro úplně jiné případy užití
Ach jo.
-
No, do JavaScriptu & spol. to má celkem daleko, ale jednoduchý fingerptinting nebo sběr informací si v tom dovedu docela živě představit.
Nicméně já tu vidím velký potenciál otravnosti, právě ve vzniku polo-interaktivních animací, vhodných pro vlezlé reklamy.31. 8. 2025, 14:30 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatelA dokážete nám popsat alespoň jednu informaci, kterou tím umíte získat, a jeden způsob, jak ji odeslat, které je možné použít díky uživatelským CSS funkcím a bez nich to s CSS nešlo udělat?
-
Nejde o to, že by to bez CSS nešlo - například JavaScriptem. Spíš by se to dalo použít ve chvíli, kdy máte ty scripty zakázané.
Předat můžete v podstatě ty údaje, které máte pro výpočty k disposici, a principem by mohlo být třebas načtení obrázku/pozadí s konkrétnímvypočteným
jménem (respektivevypočteného
obrázku).
Nicméně tak dalece, abych tvrdil, že to lze, jsem to nestudoval - jen jsem tvrdil, že si todovedu představit
.
Nikdy neříkejte, že něco nejde, protože vždycky se najde blbec, který neví že to nejde, a udělá to.
(lidové moudro) ;-D
(Děkuji za návrat možnosti náhledu příspěvku před odesláním!!!) -
Ona mi v podrobném studiu problematiky trochy brání skutečnost, že odkazovaná stránka je závislá na jakémsi javascriptu z domény, která se našim administrátorům nezdála vhodná na whitelistaci, a mně zase za to, abych to podrobně zkoumal. Čili jsem vycházel jen z příkladu ve zprávičce.
Nicméně: pokud to bude umět z dostupných parametrů CSS spočítat nějakýotisk
, určitě se najde cesta, jak ho dostat na server.
Čímž stále netvrdím, že jsou jednodušší cesty...
Spíš se obávám, že nám bezpečáci začnou krom JavaScriptu blokovat i styly. -
Filip JirsákStříbrný podporovatel
Já jsem ale nepsal o tom, že by to šlo bez CSS. Ptal jsem se vás na to, jak by to šlo s CSS bez uživatelských CSS funkcí. Protože pokud to jde i s CSS bez uživatelských funkcí, je váš komentář jaksi zbytečný.
Já si dovedu představit i placatou Zemi. Ale to, že si dovedu nějaký nesmysl představit, ještě neznamená, že bych o tom musel psát komentáře do diskuse.
Autorství toho, co uvádíte jako lidové moudro, se obvykle připisuje Williamu Wilberforceovi.
-
Díky za uvedení možného autora onoho moudra.
Ty uživatelké funkce to minimálně poněkud zjednodučují, protože umožňují počítat - ostatně podobně, jako výše zmíněnécalc().
Věřím, že spousta triků se dá realisovat i sčistým CSS
, ale tohle některé věci dost usnadňuje - ostatně usnadnit používání byl zřejmě účel.
Čili onopotenciální
další bezpečnostní riziko, zmíněné na počátku tohoto vlákna, může spočívat i v tom, že místo několikaplnokrevných hackerů
se tomu začnou věnovat tisíceCSS-kiddies
, a kvantita převáží kvalitu.
Že já nejsem žádný hacker, programátor, ani znalec tajů CSS, je snad zřejmé, takže očekávat, že k čerstvé novince vysypu z rukávu alespoň PoC reálné nové hrozby je poněkud zbytečné - ostatně stejně zbytečné, jako na mou neschopnost něco takového z rukávu vysypat poukazovat.
Desítky tisíc lidí se bojí létat, stovky z nich mají povědomí o tom, jak se pilotuje letadlo, ale jen málo kdo z nich je licencovaný pilot nebo to alespoň skutečně umí. ;-) -
Filip JirsákStříbrný podporovatel
Ano, tohle věci usnadňuje, takže není žádné nové bezpečnostní riziko. Ale neusnadňuje to způsobem, který by jakkoli pomohl script-kiddies, kterým je navíc nějaký fingerprinting prohlížeče úplně ukradený.
Že já nejsem žádný hacker, programátor, ani znalec tajů CSS, je snad zřejmé, takže očekávat, že k čerstvé novince vysypu z rukávu alespoň PoC reálné nové hrozby je poněkud zbytečné - ostatně stejně zbytečné, jako na mou neschopnost něco takového z rukávu vysypat poukazovat.
Nebylo tím pádem zbytečné, že jste se k tomu vůbec vyjařoval? -
Však taky moje (první) odpověď byla ve smyslu:
může to bý nebezpečné, ale bude to spíš otravné
.
Vlastně nevím, proč zrovna po mně chcete, abych vymyslel zranitelnost (a dokazoval, že bez toho by tam nebyla...)
Ostatně soudím, že v diskusi pod stručnou zprávičkou se mohou vyskytovat laici, a vyjádřit svůj názor či obavy. Možná by bylo lepší ty obavy dobře vyargumentovanými odpověďmi vyvrátit, než poukazovat na diskutérovu neznalost - tím totiž ty obavy spíš přiživíte. ;-) -
Filip JirsákStříbrný podporovatel
Vlastně nevím, proč zrovna po mně chcete, abych vymyslel zranitelnost (a dokazoval, že bez toho by tam nebyla...)
Protože jste cítil nutkavou potřebu se k bezpečnosti vyjadřovat.Ostatně soudím, že v diskusi pod stručnou zprávičkou se mohou vyskytovat laici, a vyjádřit svůj názor či obavy.
Aby to byl názor či obavy, muselo by to být založeno na nějakém racionálním základě, na nějakých nenulových znalostech problematiky. Pokud je to založeno na tom, že o tom dotyčný laik absolutně vůbec nic neví, pak to není vyjádření názoru či obavy, ale vyjádření hlouposti.Vyvracet ty obavy? Takže začít tady vysvětlovat, co je webový prohlížeč, co HTML, co CSS? K čemu by to bylo?
A že tím obavy přiživím? Tak to je diskutér spokojen, ne? Vždyť právě o to „mít obavy“ mu jde především, zdá se mi…
-
Pokud ten
dotyčný laik (který) absolutně vůbec nic neví
mám být já, pak si dovolím podotknout, ženěco málo o tom přeci jen vím
.
Rozhodně dost na to, abych poznal, že na praktické provedení nějakéhopřenosu pomocí CSS
nejspíš nemám dostatek zkušeností (byť si stále myslím, že by to šlo), a na odrážení osoblivých poznámek dostatek trpělivosti. ;-) -
Filip JirsákStříbrný podporovatel
Autoři těchhle vychytávek o jejich bezpečnosti samozřejmě přemýšlejí. Na rozdíl od diskutujících, kteří vystřelí první, co je napadne, přitom nemají ani základní představu o těch technologiích.
-
Filip JirsákStříbrný podporovatel
Riziko pro potenciální exploity je asi tak stejné, jako u všech ostatních vlastností CSS. Syntaxe CSS je už nějakou dobu daná, přidávají se nová klíčová slova nebo hodnoty, ale syntaxe samotná už se podle mne relativně dlouho neměnila. Předtím to byla dost divočina, snad ani neexistoval popis syntaxe pomocí gramatiky tak, jako to známe dnes a z jiných jazyků.
-
Humanoid č. 1264054 - poruchovýBronzový podporovatel
Upřímně řečeno, realita je taková, že standardem je Chrome a na nějaké Safari se dlabe. Zvlášť pokud nejde o funkčnost, ale jen nějaké vizuální opičárny.
-
Humanoid č. 1264054 - poruchovýBronzový podporovatel
Píšu, jak se to dělá v praxi. Většinou se pro český trh vyvíjí pro standard Chrome, Safari se řeší až když tam "něco nefunguje" správně. Tedy ne návrhem, ale patchem.
-
Filip JirsákStříbrný podporovatel
Co se týče podpory standardů, je na tom Firefox překvapivě stále lépe, než Safari. Takže rozhodnutí typu „tak to v tomhle prohlížeči holt bude ošklivější / pomalejší / méně pohodlné“ nebo „tahle funkce navíc tam nebude“ se dělají spíš ohledně Safari.
-
Asi tu ľudia nevedia moc o tom ako Safari opravovalo BUG na veľkej webstránke špecificky urobením výnimky pre doménu, si pamätám na twittery bol z toho úplne meme že "kúpte si doménu vimeo.com aby ste si opravili bug na webstránke spôsobený jadrom webkit".
Napríklad aj tu je dobrý príklad https://github.com/WebKit/WebKit/blob/f6b4c56cb39b07ab9b71c7f619efee251ba14263/Source/WebCore/page/Quirks.cpp#L338-L351
A takéto "výnimky" z renderovania pre špecifický web priamo v zdrojovom kóde jadra prehliadača je absurdita.
2. 9. 2025, 00:44 editováno autorem komentáře
