Как я понял, ссылка в виде

<a href="about:config">Настройки браузера</a>

в этом браузере вполне законна. Так почему же он по ней не переходит?

Активную ссылку для тестирования в пост добавить нереально. Форум разбирает BBCode так, что автоматически добавляется http://

kiav

Если не ошибаюсь, законна только при вводе вручную или при открытии из расширения. С web-страницы такие ссылки обычно открыть нельзя из соображений безопасности.

А "безопасность" могла бы просто предупредить как она это делает при ручном наборе в адресной строке.

Если с веб-страницы такую ссылку попытается открыть скрипт - его безопасность тоже должна предупреждать? Все ссылки на внутренние ресурсы браузера запрещены системой безопасности для использования на веб-страницах и в скриптах веб-страниц.

Для скриптов в плане безопасности тоже столько всего нагорожено. Да, должна предупреждать. И наверняка уже есть такие способы.

Вы, видимо, меня не поняли. У FF существует очень много внутренних ресурсов, и about:config - только один из них. Многие из этих ресурсов в плане несанкционированного использования представляют гораздо большую опсаность, нежели about:config (и при этом, если удалось до них добраться, не спрашивают у пользователя никакого разрешения). В сущности, about:config - только GUI для доступа к системе настроек браузера; предупреждение при входе на эту страницу  только интерфейсный элемент (который, кстати, легко отключается) - у вас есть желание после просмотра какой-нибудь страницы обнаружить, что у вас с настройками произошло такое, что поможет только новый профиль? А поскольку с точки зрения механизма доступа about:config ничем не отличается от прочих ресурсов, то доступ к нему попадает под общее правило запрета доступа.

Я знаю, что есть и другие ресурсы, что их очень много. Но я также знаю, что есть у любого WEB сервера простейшие способы для настройки доступа к страницам. И не менее простые способы по авторизации. Все ресурсы по протоколу about: - локальные. Не слышал пока, чтобы Firefox сам имел распределенную архитектуру. Значит и доступ можно настраивать. Просто этого не делал никто.

А спрашивается почему? Ресурсы, которые можно увидеть в семерке благодаря пункту меню Справка/Информация для решения проблем - это одно. Они должны быть доступны для чтения всем. И было бы удобно, чтобы ссылки на них запросто открывались из документов, опубликованных в WEB. Это очень удобно и доступно.

Другие ресурсы, могли бы запрашивать пароль для открытия. Когда сайты требуют авторизации никто не удивляется. А здесь по сути локальный сервер со своим протоколом ...

Разумеется. Для вирусов и троянов в том числе. Доступен ресурс из chrome-контекста - доступен и сам chrome-контекст. А этот контекст - такая штука, что с ней есть, где повеселиться.

Уверен, все эти вопросы решаемы. А иначе страшно, например, административную часть CMS держать доступной по HTTP. Этож какие страшные вирусы могут наползти!

И еще, про chrome:// я не писал ничего. Только про about:

Наберите в адресной строке chrome://global/content/config.xul, и попробуйте найти 10 отличий. about:config - это лишь псевдоним страницы, обрабатываемый с помощью custom protocol handler. С прочими about: дела обстоят абсолютно так же. Вы сами можете написать свою страничку about:blah-blah-blah, сделав свою реализацию интерфейса Components.interfaces.nsIAboutModule - как это описано здесь: https://developer.mozilla.org/En/Custom_about%3A_URLs.

Отличная ссылка. Получается, что можно написать свое дополнение, в котором и определить варианты доступа к своей странице about: В таком случае, ничего не стоит "навесить" все необходимые проверки безопасности. Понятно, что при доступе к тому же самому по chrome: таких проверок может и не быть (их и в этом случае реально сделать), а доступ по about: - естественный путь для проверок.

с чего бы это я должен раскрывать кажому спросившему конфигурацию браузера?

ага и вирусописателям удобно список дополнений плагинов настроек путей под рукой,а еще при открытии конфига и доступ к его настройкам..

что тоже сделано из соображений безопасности иначе в ссылку можно много чего нехорошего напихать.

неверно. это обычное открытие странички с диска
а указание протокола типа chrome about resource это всего лишь способ унифицировать адрес для одного и тогоже файла который в разных системах имеет разный локальный путь, то есть фф зная базовые локальные адреса екзешника и профиля вычисляет относительный для каждого ресурса.
тот же about:config это замена такого пути
_путь до папки с файрфоксом_/firefox/chrome/toolkit.jar!/content/global/config.xul
тот же самый файл окроется при таком урл
chrome://global/content/config.xul
и при about:config

Это вы рассуждаете чисто теоретически? Напишите, и попробуйте сами полностью реализовать всю необходимую систему проверок.

Еще раз: доступ по about - то же самое, что и доступ по chrome - nsIAboutModule только производит разбор и подмену url. В результате тот, кто получил доступ к странице, являющейся chrome-ресурсом, получит доступ и ко всему остальному. Например, about:config работает со скриптом из ресурса chrome://global/content/config.js - в случае несанкционированного доступа к странице будет получен доступ и к скрипту, а в контексте этого скрипта можно сделать очень многое. И поэтому открытие about-страниц для внешних вызовов будет, по сути, не просто дырой в безопасности - большими воротами с надписью "Добро пожаловать!".

Все это похоже на отрубание рук ради безопасности.

Так это-то и неверно. Отсюда и религиозный ужас на тему безопасности. Не должны такие файлы открываться тупо, без проверок. Да судя по ссылке из документации и не открываются.

Прием некрасивый Достаточно знания, что это реально. А делать или не делать - другой вопрос. Я считаю, что лучше сделать и один раз на всех, включив необходимое в стандартные интерфейсы и библиотеки.
Похожее решение уже есть при использовании мастер пароля. Пароли в этом случаи любому желающему не выдаются.

Вот в этот nsIAboutModule и стоило бы внести дополнения, чтобы он не был только тупым транслятором адресов.

Могу ответить абсолютно аналогично: достаточно знания, что это нереально. Причем знания, более-менее подкрепленного практикой.

В таком ключе эта дискуссия абсолютно беспредметна. Вам объяснили причины, по которым закрыт доступ к внутренним ресурсам браузера. Поскольку на этом форуме нет ни разработчиков FF, ни лиц, уполномоченных принимать решения относительно того, чему быть или не быть в FF, дальнейшие рассуждения о том, как вы видите систему безопасности в FF направьте.. ну, в багзиллу, например. Здесь эти рассуждения останутся мечтами о сферическом коне в вакууме.

Не кипятитесь. Ваше мнение я давно учел. Оно было очевидно с первого сообщения.
Сделать это МОЖНО. Сделано с мастер-паролем и это тоже сделать можно. Причем по тому же принципу - показывать about:config при введенном мастер-пароле, если он задан.
А уж если это по каким-то причинам сделать таки нельзя, то это недоработка, а не фундаментальное ограничение ...
Прежде чем в Багзиллы писать, инфу нужно собрать. Вот такие темы как раз и подходят. Ясно, что здесь нужно начинать издалека типа feature request на тему защиты этой пресловутой странички мастер-паролем. Как только это будет сделано, будет очевидно что делать дальше. На другой подход у меня знания английского не хватит.

Странно, что никто не верещит, что есть дыра в безопасности - параметры можно менять не введя ни одного пароля, не подключив смарт-карту и не оставив отпечатка пальца. А если окажется, что это не проблема (защиты то нет), то и доступ по ссылке можно открыть.

На всякий случай: Кто считает это рассуждением о конях, не обязан здесь отмечаться. Мнение учтено, но не принято. Мое также с успехом можно не принимать. Достанет вопрос, напишу в багзиллу. И снова, могут запросто проигнорировать, если никто не поддержит. Пока я вижу, что перспективы сомнительны.

а если не задан? влезай кто хочет?
и кто будет задавать этот пароль? юзер? или по умолчанию?  каквы себе это представляете распишите подробно.

и ещё
создаю страничку с 10000 фреймов открывающих эбаутконфиг  ты на неё заходишь и работа фх парализована пока ты 10000 раз не введёшь пароль и не нажмёшь отмена причем зпрещением скриптов или галочкой не показывать как в случае с алертами тут не обойтись.

All-in-one sidebar - так вам будет проще (5 кнопка сверху)

"Можно" и "Нужно" - две большие разницы. Можно ходить в интернет из винды без антивируса под администратором. Можно разрешать левому софту устанавливать свои тулбары и домашние страницы. Можно запускать с флешек каждый подозрительный файл. Даже под никсами можно запустить скриптик или собственноручно набрать zzz (оно, кстати, до сих пор не просыпается?)

А можно оставить самым защищённым браузером с открытым исходным кодом на сегодняшний день.

kiav
Если отбросить демагогию, скажите, зачем Вам это нужно?

Можно именно так и сделать. Свободный доступ к паролям сайтов без мастер-пароля никого не волнует. И это не должно.

Да, юзер.

Есть альтернативный вариант, если предыдущий не подходит. По умолчанию страница about:config вообще не должна открываться пока не установлен мастер-пароль. Вместо этой страницы - поясняющий текст.

Так можно сделать с любой страницей, в том числе в Инет. В первый раз она забирается в кеш, в остальные 9999 раз берется уже из кеша, но все равно будет многократно открыта. Паралич обеспечен. Либо нужно предусматривать общую защиту в принципе для работы с фреймами, либо делать вид, что этого быть не может.
Видимо, этот вариант и действует сейчас. Неоднократно сталкивался с неудержимым открытием страниц. Не знаю были ли это хитрые скрипты, или фреймы. Браузер приходилось убивать из диспетчера задач. Так что, как видно, это не новая проблема, а давно живущая.

Кстати, когда браузер работает правильно, он должен запоминать пароль при первом запросе, а в остальных 9999 случаев использовать уже введенный. К сожалению, лично у меня браузер запрашивает этот пароль в одной сессии больше одного раза. Багзиллу я не мучил по этому поводу. Пока не достало, да и редко повторяется. Закономерности не видно.

30-09-2011 08:55:38

Давайте так не будем! Мне самому может казаться, что мне отвечают демагоги.

Может кому-то это покажется смешным, но мне лично не нравится, что я не могу оставить на форуме активную ссылку на about:config. Собственно, ничего более не нужно для объяснений, этого достаточно. Есть ссылка и она должна открываться. Это обычный документ, коих много. Некоторые из них важнее других и только.

а разве он есть?
доступ к паролям есть только у юзера и дополнений но никак не у страниц в инете.
а вы предлагаете дать этот доступ.

мне вот мастер-пароль нафиг не нужен и набирать его каждый раз мне впадлу, мне проще следить за носителем то бишь железом что он не попал куда не нужно и не ставить всякие левые софтины.

свашим же предложением все мои пароли будут доступны всем страничкам.

и вы с такими знаниями таки пытаетесь учить разработчиков??
фейспалм.жпг

Этого нет. Получить доступ к паролям без мастер-пароля можно только имея доступ к файлам пользователя. Лиса не даёт доступ к файлам профиля из сети.
Вы предлагаете сделать в браузере потенциальную уязвимость. Единственный браузер, настройки которого можно будет менять из сети.

Человек первый раз в жизни полез в about:config чтобы поменять одну-едниственную настройку (не нравятся, допустим, скрывающиеся префиксы протоколов) а браузер - здрасти! - потребовал мастер пароль.
Получим стоны миллионов недовольных хомячков, проверено.

Куки отжили срок и сайт просит заново залогиниться. Вполне закономерно.

Не надо меня в штыки воспринимать. Я Вас оскорблять не собирался и не собираюсь. Я и без этого почти любой флейм выигрываю.

about:config это не ссылка. Ссылка это http://forum.mozilla-russia.org/ прочувствуйте: есть префикс протокола и доменная зона.

Это сервисная страница. Вы же не можете пройти в реестр по ссылке на веб-странице? Даже великий ишак (извините, извините) этого не позволяет.

Я этого не предлагал никогда! Может будем читать сообщения на которые отвечаем?
Я ссылался на мастер пароль и хранение паролей как на пример того, что доступ к заветной информации можно обеспечить так.
И да, у меня лично мастер-пароль есть всегда и мне не впадлу его набирать.

Не претендую. Не писал здесь ни строчка кода за исключением HTML. Все что я здесь успел написать сводится к запросу новой возможности в программе. Причины почему ее нет уже понятны.
Кстати, замеры линейкой меня также не интересуют. Я уверен, что найдутся люди, которые разбираются в вопросе (любом) лучше меня и не комплексую по этому поводу.

30-09-2011 09:23:54

Что-то я потерялся совсем ... Когда я это предложил? Что значит менять из сети? Это открыть about:config у себя на ПК на своем браузере считается изменением по сети? Почему?
Понимаю, если бы я предлагал удаленное управление. Так ведь об этом речи не было никогда.
Переход на локальную страницу по ссылке размещенной на странице в сети не должно к такому приводить. Давно существует возможность открывать локальные файлы в браузере. В этом случае вместо http://  в адресе file:// Если кто-то на своем сайте разместит такую ссылку он не получает доступ к моему файлу С about:config тоже самое. А в теме народ всполошился не на шутку. Сначала мне показалось это обычной демагогией СБ (служба безопасности). Теперь похоже ситуация проясняется - разговор то идет на разные темы ...

потому что матчасть надо учить или хотябы читать внимательно что вам отвечают.
поясняю на пальцах
возможность открытия подобной ссылки означает что указанная ссылка и страница находящаяся по ней доступна скриптам с основной страницы а значит открыв тот адрес во фрейме я могу делась с той страницей что захочу то бишь посылать туда данные и команды и получать оттуда данные а если на той страничке есть соответствующиее скрипты то и получать команды.
тоесть открыв конфиг во фрейме я могу скриптами управлять им также как еслиб я делал это мышкой.
а это означает возможность изменения настроек браузера любым сайтом.
плюс используя тот же принцип сайт может сам тихо и без спроса установить дополнение которое будет иеть доступ уже не только к браузеру но и к системе с правами пользователя запустившего браузер, то есть у любой странички в сети появится возможность не только работы с файлами но и запуск любых программ.

Представьте себе, я это знаю. Да, может быть не разбираюсь во фреймах (вообще, только знаю, что это страница в странице). Только речь о конкретной странице, это не академические рассуждения. about:config позволяет изменения скриптами? Да, на уровне дополнения изменить параметры можно. А что из фрейма можно вызывать интерфейсы компонент XPCOM? Да, сам писал страницу для теста компоненты. Только чтобы она работала требовались особые настройки безопасности. Сейчас не вспомню какие, просто любой любой скрипт с такими целями не вызовет. Ну а если так, то зачем эти пространные рассуждения? Просто попугать? Вот как раз это и напоминает ИБД (имитацию бурной дейтельности службы ИТ безопасности).

Параметры about:config можно менять и не запуская браузера: открыл prefs.js файл из папки профиля лисы и правишь как хочешь.

Так поправь разрешения для js-скриптов.

В этом нет ничего опасного. Надо лишь знать, что нельзя запускать всё подряд, скачанное из интернета.

а что будет если в фрейм вставить ссылку на file://c:/path/to/some/folder/ ? Разве отобразится содержимое папки в это фрейме? и разве будет ли туда доступ у страницы?
По-моему ты ошибаешься, насчёт того, что если в фрейме открыта какая-то ссылка, то у сайта есть туда доступ - неа, нету. Максимум что может сделать сайт - повесить какой-нибудь невидимый слой поверх этого фрейма и просто отслеживать твои клики и ввод символов туда.

Руками то можно ... Только тут ужасы о возможностях JavaScript. Не знал что он может напрямую с файлами работать.

В окнах с настройками такого не видел. Это где-то по параметрам, исходникам нужно искать?

Menu - Tools - Options - Content (tab) - Enable javascript - Advanced: снять все галки.
Через about:config есть более гибкие настройки:

// Force all new windows opened by JavaScript to load in the tabs
user_pref("browser.link.open_newwindow.restriction", 0);
// Forbid sites to move/resize browser's window
user_pref("dom.disable_window_move_resize", true);
// Forbid sites to hide status bar
user_pref("dom.disable_window_open_feature.status", false);
// Forbid sites to lock window's size
user_pref("dom.disable_window_open_feature.resizable", false);
// Forbid sites to hide location bar
user_pref("dom.disable_window_open_feature.location", false);

Через JS нельзя залезть в about:config.

Это будет незащищённая машина. Обсуждается подобная ситуация. Сама по себе ссылка about:config точно так же безопасна.

от чего незащищённая? воры проберутся?

iDev.Pi
Вы чайника третий раз комп увидевшего за комп без антивиря пустите, чтобы он по порносайтам полазил?

Tiger.711
чайника, третий раз увидевшего комп, не спасёт и антивирь

iDev.Pi
Вы сейчас выступаете из разряда "лишь бы возразить" или и вправду так считаете?