Vlákno názorů k článku
Závažná chyba ve Firefoxu umožňovala odcizení dat
od paul - Napad umoznit spustit prakticky libovolny kod za ucelem...
-
paul (neregistrovaný)
Napad umoznit spustit prakticky libovolny kod za ucelem prohlizeni weboveho obsahu je blaznovstvi a nekoncepcni reseni, ktere si vybira a bude vybirat svou dan. Dokud nedojde k navratu k fixni sade pravidel a parametru, jen treba uplnejsi a konzistentnejsi nez soucasne HTML5/CSS3, tak tu bude tohle zvysene a IMHO zbytecne bezpecnostni riziko existovat.
JS je tak akorat dobry pro agresivnejsi vnucovani reklamy, sireni malware, zatezovani procesoru a obchazeni neznalosti a neschopnosti webdesigneru. Tech stranek kde by si neslo vystacit s CSS by se dalo spocitat na prstech jedne ruky.
-
Ondra Satai NekolaZlatý podporovatelJenomze web uz davno neni jenom obsah ale i aplikace... get over it.
-
Ondra Satai NekolaZlatý podporovatel
Ale no tak. Nerikam, ze je idealni menit vsechno na aplikaci. Rikam, ze jakykoli browser musi pocitat s existenci aplikaci, jinak je na nic.
-
_pepak (neregistrovaný)
Počítat ano. Ale skutečně je dobrý nápad, aby browser fungoval na principu "celý web je aplikace, těch pár výjimek si může uživatel blacklistovat"? Já bych třeba řekl, že těch aplikací je relativně málo, takže by byl zcela ospravedlnitelný opačný přístup ("všechny skripty zakážeme, povolíme je na několika málo známých stránkách a zbytek ať si uživatel whitelistuje - dáme mu na to do UI snadno přístupné tlačítko, které může třeba zablikat, pokud kód webové stránky obsahuje skript"). Pokud má tvůrce browseru takový strach, aby náhodou uživatele od něčeho neodřízl, ať výchozí hodnotu zapnutí/vypnutí skriptu dá do antimalware filtru, který už je stejně všude defaultně aktivovaný...
-
j (neregistrovaný)
Spis bych uvital moznos povypinat/fakovat konkretni kusy API. Tzn bud by proste konkretni vec nebyla dostupna vubec nebo by posilala nahodny kraviny.
BTW: Nosrtipt mam defaultne zapnutej, a nijak zvlast me to neomezuje. Kdyz cas od casu narazim na nejakou zhuverilost, ktera nefunguje bez js vubec, tak du proste o dum dal.
-
Ondra Satai NekolaZlatý podporovatel
Vracet bordel moc chytrej napad neni.
Minimalne pro cast API to tak funguje - trebas geolokace je opt-in a da se nastavovat po strankach vcetne moznosti "dej jim lokaci jenom jednou". -
Ondra Satai NekolaZlatý podporovatel
A? To je neco, co muzes resit jako autor aplikace (napsat je trebas jako nativni Android a iOS aplikaci a nedelat ji jako webovou), ale jako autor browseru s tim nic neudelas a snazis se ty existujici aplikace spoustet jak nejlip to umis (a pridat jim to, co nefunguje, trebas tu offlinovitost).
