> прости, но я не могу сделать это для тебя -- ты же
> сказал что ты всё поотключал у себя.Более того - у меня получилось лучше чем у мозильщиков. В дефолтной конфиге мозилы-тормозилы кто угодно может пдфником заклинить проц на 5 минут и выжрать всю RAM, создав много дискомфорта. Попробуй так у меня похулиганить, удачи.
> речь идёт о той ситуации, которую ты предлагаешь, а не о той
> ситуации, которую ты практикуешь :)
Ситуация простая как топор - качаем даташит и смотрим. Автооткрытие PDF вообще имхо сомнительно. Это может быть удобно иногда, но т.к. PDF в веб сроду никто не пытался *нормально* интегрировать, получилась самодеятельность в режиме "хотели как лучше, а получилось как всегда". Что у адобы, что у мозиллы.
> [из твоего сообщения я так понял что предлагаешь ты одно,
Я не предлагал открывать пдфники на автомате, в браузере. Это утырки из тормозилы решили что оно надо. При том нормально это сделать они не смогли: то что у них вышло, работает на порядок хуже чем внешняя вьюшка. Что как бы FAIL.
> а твой NoScript -- ты по сути используешь как словно люди используют
> Касперский на Винде..
Увы, сети - враждебная среда, где миллионы автоматических (и не очень) сущностей ищут для себя выгоду. Как правило в ущерб "вон тем лохам". Приходится учитывать. А эксплойт на сложное как черти-что двигло JS в принципе может и прилететь, даже в линух. Сугубо вопрос лени писателей сплойтов. С NoScript эксплойт на JS двигло имеет все шансы обломаться.
Кроме того, аксиома: если есть тюринг-полный ЯП, существуют применения этого ЯП, которые могут владельцу машины не нравиться по тем или иным причинам. Значит, должны быть средства контроля выполнения. Хотя кому-то может и нравится летать на самолете, у которого управление отпало.
> ну допустим распознает NoScript пару типичных ситуаций с Clickjacking..
> но наверняка можно найти ситуацию когда NoScript можно обмануть...
Спору нет, хорошая ядерная ракета справляется с брезентовой палаткой и паршивеньким бункером примерно одинаково. Это не означает что защищенность палатки и бункера идентична.
> NoScript что-то там распознаёт и блокирует.
Кроме всего прочего, зарубание JS сильно нагибает возможности по внеплановому жульничеству.
> такое на своих заборах ни начнут писать все.
NoScript это не только надпись в виде значка, но и дрессированная собака, которая вполне в настроении порвать штаны левым личностям.
> техника защиты Trust/Untrust -- выглядет слегка слабова-то,
Сделай лучше, чтобы было не менее безопасно и не менее юзабельно.
> учитывая что могут взломать необновлённую Джумлу на сайте даже
> которому ты доверяешь..
Здесь мы наталкиваемся на магию теории вероятности. Вероятность того что случится все и сразу, в том виде каком оно сработает - ниже, чем в случае когда браузер выполняет все подряд. Грубо говоря, заходя на стройку довольно глупо не одевать каску, потому что "все-равно от метеорита и ядерной ракеты не спасает".
> ЖЕ! см прошлые сообщения] что сайт которому ты доверяешь -- может
> вставить рекламный банер от сторонней рекламной сети.
Может. Только JS он выполнить не сможет. Да и сторонняя сеть скорее всего давно накрыта адблокплюсом...