Справка не помогает ?Ctrl+Shift+LButton / Shift+MButton
Точно, спасибо.
пост от 17 октября - детский лепет с любимой фразой
И что, многое там экстеншоны решают? Эта приписка сделана потомучто не у каждого есть время копаться в сотнях расширений.
KvaZaR, ссылку. Без ссылки - грош цена и нарушение правил
И что ссылка изменит?
Пост приведен as is.
Отредактировано KvaZaR (08-01-2006 10:58:44)
Отсутствует
...
И что ссылка изменит?
...
Ваше отношение (внешне, по крайней мере) к участникам обсуждения - хотя бы.
Что до процитированного вами - как верно выразился Bananas - "детский лепет" по большей части.
Время настанет, время придет...
И лис кОнкурiентов на части порвет !!!
Отсутствует
О "платформах и браузерах". Не согласен. Платформа - это то, на чём работает браузер.
Определения не претендуют на... Надо же как-то обозвать, а?
Хм, поставил "always", результат тот же - после редактирования сообщения показывается устаревшая страница.
Скорее всего, как уже сказали, баг девятки. Сам ей не пользуюсь, не сталкивался. В восьмёрке кажется даже этих шаманских танцев танцевать не надо.
А ведь можно их и злонамеренно неграмотно написать, и с виду всё будет безобидно, особенно для пользователя-непрофессионала в программировании.
Дело такое... я встречал скрипты для того же Greasemonkey, авторы которых не заворачивали свои функции и некоторые действия были доступны со страниц, на которых эти скрипты работали. Хотя "best way" давно описан. Так что написать дырявость можно везде.
А по поводу секьюрности уже правильно заметили: привелегированность скриптов в Gecko может привести к ооочень неприятным последствиям, если автор писал "злонамеренно неграмотно", особенно если "злонамеренно грамотно". Вон, автор Gmail Notifier до сих пор убеждает людей, что его расширение не ворует почтовые реквизиты.
Отсутствует
Mash
привелегированность скриптов в Gecko может привести к ооочень неприятным последствиям
Всё-таки поместить зловредный код на chrome гораздо сложнее, чем на web-страничку.
скрипты для того же Greasemonkey, авторы которых не заворачивали свои функции и некоторые действия были доступны со страниц, на которых эти скрипты работали
Не знаю как раньше (я Greasemonkey никогда не пользовался), но сейчас, как я понял, скрипты Greasemonkey выполняются в другом окружении, нежели content-скрипты со страниц. Такой вариант можно и взять за основу, если привелегирировать скрипты userjs. А если просто "взять, и дать привелегии", не позаботившись о системе их разделения, то абсолютное большинство userjs станут дырявыми.
написать дырявость можно везде.
Вопрос в том, на сколько сложно будет сделать её незаметной.
Отсутствует
Если Оперские userjs сделать по такому же принципу, то можно их и правами наделять.
Самое главное тогда - разделить в правах userjs и content scripts.
Хм. Неплохо-неплохо. Пойти что-ли, в Wish-list отправить?
Если ещё бы сделать улучшенное хранение данных на стороне клиента. Вот была бы би-ла-кайфа.
А если просто "взять, и дать привелегии", не позаботившись о системе их разделения, то абсолютное большинство userjs станут дырявыми.
Да нет, как раз UserJS не станут дырявыми. Это скрипты на страницах слишком много себе получат.
написать дырявость можно везде.
Вопрос в том, на сколько сложно будет сделать её незаметной.
Как будто UserJS и Greasemonkey-скрипты пишутся на разных языках. И оба открыты.
Не очень по теме, но в общем-то "Open The Web" открывает вэб для всех. В общем, Browser.js работает!
Отредактировано profiT (09-01-2006 01:37:07)
Плюсики рисовать здесь: [ ]
Отсутствует
в Opera нельзя рядом с главным меню разместить личную панель, а в Firefox можно. интерфейс у Firefox лучше.
PS спасибо всем за красивый корректный флейм.
Отсутствует
Так. Я разобрался, почему у меня такие "названия" пунктов перехода Вперёд-Назад. Это, похоже, Session Saver не сохраняет в истории названия страниц. Мелочь, конечно, но всё же
Тут у меня по неясным причинам слетел разок Firefox (просто ни с того ни с сего начал лезть в сеть, я ему говорю "Отмена", он берёт и вылетает), так никакие Session Saver'ы и Cache Fixer'ы не спасли — всё с начала до конца загрузилось, никаких следов кэширования
Но вы про скрипты говорите, говорите, очень интересно и познавательно (-:Е
Ядрёная консоль делает меня сильней!
Отсутствует
RED
в Opera нельзя рядом с главным меню разместить личную панель, а в Firefox можно. интерфейс у Firefox лучше.
В Opera можно сайдбар поместить справа.
В Opera можно назначить горячие клавиши(или даже жесты) на "показать/скрыть" гланую панель, личную панель, панель навигации (короче все панели)!
Можно ли такое в Firefox?
«Чтобы пробить стену лбом, нужен или большой разбег, или много лбов.» © Альберт Эйнштейн
Отсутствует
RED
в Opera нельзя рядом с главным меню разместить личную панель, а в Firefox можно. интерфейс у Firefox лучше.
В Opera можно сайдбар поместить справа.
В Opera можно назначить горячие клавиши(или даже жесты) на "показать/скрыть" гланую панель, личную панель, панель навигации (короче все панели)!Можно ли такое в Firefox?
Можно.
Тут должна была быть подпись. А, да... Вот она и есть.
Отсутствует
Всё-таки поместить зловредный код на chrome гораздо сложнее, чем на web-страничку.
"Впарить" расширение сложнее, согласен. Зато потом возможностей для деструктива гораздо больше.
Не знаю как раньше...
Теперь -- да, поправили; а вот раньше -- нет.
Вопрос в том, на сколько сложно будет сделать её незаметной.
Можно и заметной, главное -- чтобы заметили не сразу. Например, до отсылки тех же самых реквизитов GMail.
P.S. Да и если бы только расширения...
Отсутствует
"Впарить" расширение сложнее, согласен. Зато потом возможностей для деструктива гораздо больше
А почему? В чём процесс "впаривания" разнится?
Ядрёная консоль делает меня сильней!
Отсутствует
А почему? В чём процесс "впаривания" разнится?
Я думаю (надеюсь), что хотя бы в некоторые светлые пользовательские головы уже вбили истину, что расширения могут многое. И не всегда это "многое" полезно.
Ну и изначальная секьюрность (установка с сайтов, обозначенных в "whitelist") тоже не шибко способствует.
Хотя методами соц.инж. можно "впарить" всё что угодно.
Отсутствует
Гм. Загрузил страницу. По причине режыма "только из кэша" недогрузилась картинка. Выбрал "Загрузить картинку" (чем от "показать" отличается, никак запомнить не могу), выскочила картинка, прогрузилась. При переходе назад она не показывается. Google Page Rank на http://www.xpsource.com/internet-explor … e-of-ie-7/. Проверил, в Opera всё так, как должно быть
Mash
Понятно, хотя и не совсем строго доказуемо (-:Е
Отредактировано krigstask (09-01-2006 14:59:23)
Ядрёная консоль делает меня сильней!
Отсутствует
Насчёт "всемирного заговора"...
http://my.opera.com/hallvors/blog/show.dml/63392
Ядрёная консоль делает меня сильней!
Отсутствует
...При переходе назад она не показывается...
http://forum.mozilla.ru/viewtopic.php?pid=65964#p65964
...(чем от "показать" отличается, никак запомнить не могу)...
Попробуйте, поймёте сразу.
Отсутствует
Спасибо, почитаем.
Попробуйте, поймёте сразу
Не раз пробовал, понять-то понял, но запомнить трудновато — привык к тому, что "Открыть" и "Обновить" и так понятны (-:Е
Ну вот, опять забыл (-:Е
Ядрёная консоль делает меня сильней!
Отсутствует
Всё-таки поместить зловредный код на chrome гораздо сложнее, чем на web-страничку
"Впарить" расширение сложнее, согласен.
Справедливости ради стоит отметить, что вся "гораздая сложность" заключается в правке файла extensions.ini, который в профиле.
Зато потом возможностей для деструктива гораздо больше
Равно как и для конструктива.
Время настанет, время придет...
И лис кОнкурiентов на части порвет !!!
Отсутствует
...правке файла extensions.ini, который в профиле...
При чём тут правка? Я подразумеваю ситуацию:
-- Слышь, чувак, вот тебе ссылка на классное расширение!
-- А что оно делает?
-- [..перечисление вкусного..]
-- О, то, что мне надо! Спасибо, сейчас скачаю!!!
Или о другом речь? Сейчас более внимательно перечитал тред. Наверное, Yan тоже немного не то имел ввиду, а я ушёл в другую сторону.
Отсутствует
Mash
Я имел в виду когда скачивается совершенно нормальный userjs, предназначенный для некоторого сайта example.com. Он выполняет какую-нибудь безобидную и вполне полезную функцию. Т.е. в нём не будет ни срочки зловредного кода. Но в нём может быть код вида
Т.е. userjs будет использовать функцию (тоже безобидную, полезую, и для этого кода необходимую) с сайта example.com.
Таким образом, что же получится, если userjs будет иметь привелегии (которые распространятся и на функцию example_com_function())?
Пользователь установит себе полностью безвредный userjs (а на момент установки он и будет безвредным), и до некоторой поры будет наслаждаться его работой.
А потом вдруг владелец сайта example.com на время заменит код функции example_com_function(), сделает своё черное дело, и восстановит всё обратно, как будто всё так и было.
Именно поэтому, если вводить привелегии, то нужно полностью разделить окружение userjs и скриптов со страниц, т.е. чтоб они никак друг на друга влиять не могли. Только тогда можно говорить о сохранении того же уровня безопасности, что есть сейчас (когда привелегий нет).
P.S. Да и если бы только расширения...
Ни фига себе! Я и не знал, что у css столько возможностей!
Впрочем, этот случай еще раз подтверждает, что прежде, чем что-то разрешать, нужно очень хорошо это продумать.
Отсутствует
Yan
Раз уж исторически сложилось: давайте попробуем сравнить скрипты Greasemonkey и скрипты Оперы. Та же ситуация: имея в своём арсенале GM_xmlhttpRequest, некто может написать скрипт, содержащий вышеописанную функцию example_com_function();, прикрутить там, например, кустарный кейлогер, и, время от времени, слать себе, любимому, полезную информацию.
Т.о., в словах
Типа "скачайте мой userjs, и будете серфить по моему сайту супер-гипер удобно". А потом взять, встроить на свой сайтик скрипт, читающий личную инфу пользователя, и всё. При этом в самом userjs будет выглядеть всё мило и безобидно, зловредный код будет на странице сайта.
просто скрыт вопрос доверия: можно ли доверять автору Opera.UserJS, Greasemonkey.user.js, some.xpi, cool.exe (последний расковырять трудно, но суть вопроса остаётся)? Кто-то этим пользуется? Какие отзывы? И т.д.
Всё-таки хочу вернуться к тому моменту, с которого я влез: UserJS должны предоставлять возможность для "потенциальной дыры" в виде "кросс-сайтового скриптинга". Просто потому, что этой дыры нет как таковой.
Именно поэтому, если вводить привелегии, то нужно полностью разделить окружение userjs и скриптов со страниц, т.е. чтоб они никак друг на друга влиять не могли.
1) скрипты со страниц отделены от грамотного userjs и привелегии их не меняются от его наличия или отсутствия.
2) если хочется деструкции, то на каждую хитрую гайку найдётся свой болт.
Отсутствует
Mash
Ладно, вроде всем всё понятно. У каждого своё мнение в конце концов.
Моё заключается в том, что если давать привелегии, то вопрос об отделении скриптов со страниц от userjs следует решать на уровне браузера, а не возлагать его на разработчиков userjs. Да и написать грамотный userjs не так уж и легко, многие разработчки могут совершенно случайно наделать ляпов, а воспользуются этим уже другие.
Отсутствует