forum.opennet.ru

Составление сообщения

Исходное сообщение

"Утечка идентификаторов пользователя через встроенный в брауз..."
Отправлено Аноним, 29-Дек-17 01:15

ABP может (наверное, юблок точно может), но проблема в том, что там блеклист (с вайтлистом). И новых доменов в фильтрах не будет, как не было сейчас в случае с форчаном.
Суть юматрикса и аналогов (Request Policy, покойный Policeman) в подходе source-destination и 1st-party/3rd-party, а не конкретных фильтрах на основе доменов/url. Дефолтные настройки юматрикса разрешают из 3rd-party только css и картинки, всё остальное (отправка кук, аудио-видео, плагины, скрипты, XHR (и вебсокеты), фреймы и оставшиеся запросы, не попавшее в существующие категории) запрещено. И даже если ты разрешил на условном форчане скрипты и XHR гугла, для работы рекапчи, то когда там внезапно появляются новые левые домены, ты от них по дефолту защищён.
Носкрипт же может блочить (говорю про старую версию, новым не пользовался) скрипты, фреймы, плагины, аудио-видео, шрифты и webgl. Но не XHR, куки и сетевые запросы без категорий. Может он может что-то ещё через ABE-правила, но кто их использует-то? И дополнительный его фейл был в том, что он рулил скриптами только на основании destination, без source. Т.е. если ты разрешил где-то example.com (на нём самом или на example.org), то он будет разрешён везде. Касается и постоянных, и временных правил (из-за чего временные очень желательно очищать в нём вручную). Весьма весёлая фича.
Предсказывая возможный коммент с волшебными базвордами носкрипта (XSS, clickjacking), отправляю читать это: https://github.com/gorhill/uMatrix/issues/297#issuecomment-1...
> Clickjacking = Blocking third party frames
> As far as XSS is concerned, there are a myriad of techniques for it, most of which rely on scripts, frames and browser exploits (one could in theory execute JavaScript via HTML IMG tags, but browsers no longer allow that to happen).
> The only thing NoScript has on uMatrix (which does not make up for its deficiencies and lower performance) is the feature referred to as 'surrogate scripts'. Essentially mirroring a library, or a modified version of a given library (e.g. mootools, or jquery). uBlock used to have this.

Исходное сообщение
"Утечка идентификаторов пользователя через встроенный в брауз..." Отправлено Аноним, 29-Дек-17 01:15
ABP может (наверное, юблок точно может), но проблема в том, что там блеклист (с вайтлистом). И новых доменов в фильтрах не будет, как не было сейчас в случае с форчаном. Суть юматрикса и аналогов (Request Policy, покойный Policeman) в подходе source-destination и 1st-party/3rd-party, а не конкретных фильтрах на основе доменов/url. Дефолтные настройки юматрикса разрешают из 3rd-party только css и картинки, всё остальное (отправка кук, аудио-видео, плагины, скрипты, XHR (и вебсокеты), фреймы и оставшиеся запросы, не попавшее в существующие категории) запрещено. И даже если ты разрешил на условном форчане скрипты и XHR гугла, для работы рекапчи, то когда там внезапно появляются новые левые домены, ты от них по дефолту защищён. Носкрипт же может блочить (говорю про старую версию, новым не пользовался) скрипты, фреймы, плагины, аудио-видео, шрифты и webgl. Но не XHR, куки и сетевые запросы без категорий. Может он может что-то ещё через ABE-правила, но кто их использует-то? И дополнительный его фейл был в том, что он рулил скриптами только на основании destination, без source. Т.е. если ты разрешил где-то example.com (на нём самом или на example.org), то он будет разрешён везде. Касается и постоянных, и временных правил (из-за чего временные очень желательно очищать в нём вручную). Весьма весёлая фича. Предсказывая возможный коммент с волшебными базвордами носкрипта (XSS, clickjacking), отправляю читать это: https://github.com/gorhill/uMatrix/issues/297#issuecomment-1... > Clickjacking = Blocking third party frames > As far as XSS is concerned, there are a myriad of techniques for it, most of which rely on scripts, frames and browser exploits (one could in theory execute JavaScript via HTML IMG tags, but browsers no longer allow that to happen). > The only thing NoScript has on uMatrix (which does not make up for its deficiencies and lower performance) is the feature referred to as 'surrogate scripts'. Essentially mirroring a library, or a modified version of a given library (e.g. mootools, or jquery). uBlock used to have this.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру