логин: 
Другие записи за это число:
2013/09/13_vasya - Вася Обломов закрывает сезон водной навигации
<< предыдущая заметкаследующая заметка >>
13 сентября 2013
Размышления о гипотетических браузерных вирусах

Для отладки своего движка я открыл для себя window.onerror :) И настроил отсылать на сервер информацию об ошибках скрипта, которые возникают на страницах моего дневника у разных пользователей в их браузере. Я рассчитывал найти ошибки собственного кода, которые проявляются в браузерах, на которых я движок не тестировал. Однако то, что набралось в логе за сутки, заставило меня глубоко задуматься. Я увидел самые разнообразные ошибки JS, которые возникают у посетителей моего дневника, хотя в моем коде сроду не было ничего подобного!

У одного посетителя браузер 1 пытался найти в моем коде jQuery и огорчался, что не может найти: 'Uncaught ReferenceError: jQuery is not defined' in #503 Помилуйте, у меня на страницах сроду не было jQuery, кто его там спрашивает?

Или вот некий скрипт, назвавшийся miscellaneous_bindings2 каждую секунду, пока человек читал мой дневник, пытался ломиться куда-то вовне: 'Uncaught Error: Attempting to use a disconnected port object' in #51 Я погуглил — говорят, какое-то «расширение» пытается что-то читать или писать в локальных файлах. Нормально, да? Вы читаете в интернете сайты, а тем временем какое-то ваше «расширение», установленное в вашем браузере (хорошо, если вами), ежесекундно пытается получить доступ (хорошо, что безуспешно) к каким-то файлам на вашем диске (хорошо, если к своим).

Довольно часто у пользователей браузер3 шлет моей странице сообщение через оконный транспорт onmessage с неким «Object.topic=yandex.smart-links.status.request». Кому он его посылает? Мой обработчик onmessage совершенно не ждал таких посылок и естественно выдает ошибку (протокол переклички моих страниц иной).

Вот чей-то Айпад4 ищет какой-то 'ReferenceError: Can't find variable: atomicFindClose'

Вот чья-то Убунта5 выдает 'Error loading script' в попытке получить исполняемый код, отправив запрос с загадочными данными на внешний сайт:

http://push.notif.9gag.com/lp/7b5ccaf651dd5a?&callback=PushStreamManager[0].wrapper.onmessage&tag=0[...]

Надеюсь, линуксоид, владелец этой Убунты, в курсе, за каким скриптом он шел на загадочный http://push.notif.9gag.com, больше всего сейчас напоминающий чью-то хакерскую площадку на бесплатном хостинге?

Причем, всё это происходит в незаметном для вас режиме — вы-то этих ошибок не видите. Если бы я не включил логи ошибок, я бы тоже о них ничего не знал. В принципе понятно, откуда такое берется: современные браузеры обвешаны самыми разными «плагинами», «расширениями», «дополнениями» и прочей ерундистикой, и она активно вмешивается в код всех страниц, которые вы просматриваете. Что эти приложения делают на каждой из страниц — одному богу ведомо (а если возникают ошибки — то немножко и мне). Может, у вас какой-то безобидный спеллчеккер, может, резалка рекламы, может плагин Яндекса пытается следить, какие сайты сегодня популярны, а может это следилка за паролями, которыми вы логинитесь в моем дневнике, на Фейсбуке или в онлайн-банке. Не проблема же их сосканировать, если ваш браузер решил выполнить собственный JS на странице онлайн-банка.

Для тех, кто не понял: речь идет не о моем сайте. Расширения ваших браузеров обрабатывают страницы всех сайтов, которые вы открываете. Например, в свое время меня задолбало, что в онлайн-банке Авангард беспрерывно мигает какая-то сраная строчка в меню, и я соорудил в своем браузере собственное расширение, которое запрещало эту мигалку в коде страницы Авангарда. Но с тем же успехом я мог бы заставить расширение сканировать набираемый пароль и отсылать его на далекий сайт. А если бы я затем уговорил кого-то установить моё расширение, выдавая его за лекарство от навязчивой мигалки или удобный прогноз погоды в бегущей строке? Понимаете, да?

Сегодня в большинстве случаев «операционной системой» настольных компьютеров стал браузер. У большинства пользователей компьютер загружается, открывается браузер, и все остальное происходит в нем: серфинг по страницам, почта, работа с офисными документами, чаты, просмотр видео и музыки — большинство задач пользователя берет на себя браузер. Большинству простых пользователей сегодня не важно, что у них за система — Виндоус или Линукс, потому что они перед собой видят лишь абсолютно стандартный Firefox или Chrome. Разрабатывая концепты сети binoniq (пока мной не реализованные) я тоже исходил из предположения, что дополнительно установленные «клиенты» на настольных компьютерах неверный путь, поскольку браузер сам по себе может стать чем угодно, включая пиринговую сеть.

Возникает вопрос: а как у нас дело обстоит с браузерными вирусами? Точнее — вредоносным кодом, поскольку вирус отличается только тем, что пролезает сам, а вредоносный код устанавливает лично пользователь, искренне полагая, что скачал в свой браузер (или смартфон) клевый бесплатный фонарик или словарик. Если браузер стал de facto операционной системой, логично ожидать появления толп браузерных вирусов/вредоносных расширений именно для браузера. У нас вообще изучается вопрос аудита браузерных расширений? Есть ли антивирусы для браузеров, которые анализируют, чем заняты все эти многочисленные установленные зачем-то «дополнения»? Ищет ли кто-то вредоносные плагины среди миллионов остальных на официальных сайтах Firefox и Chrome, чтобы их вычистить из коллекций?

Нет, я вовсе не утверждаю, что у некоторых моих посетителей плагины-вирусы. Мне просто интересно, насколько сетевая общественность осознает эту проблему? И что делается для контроля? Есть ли, допустим, сайты, на которые можно зайти браузером, чтобы узнать, какие ваши плагины что пытаются творить, пока вы не видите? Есть ли список вредоносных плагинов и признаков, по которым мой сайт смог бы их опознать и предупредить пользователя?

В общем, я нашел для себя довольно много неожиданных вопросов. Завтра уезжаю на неделю, не знаю, будет ли интернет, да и работы адский завал. Но вы пока об этом подумайте ;)

PS: Если вы хотите сами видеть ошибки, которые выдает ваш браузер на моей странице, можете в своей карточке поставить галочку «показывать ошибки браузера».

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
Страницы, которые привлекли мое внимание за последние дни, рекомендую:
2017-11-22 В июне 1982
архив ссылок

Комментарии к этой заметке сейчас отключены, надеюсь на понимание.

Linux Safari Chrome
 Омск
19
1
HZ
Здравствуйте.
Как это выглядит? Отображение ошибок?
зы. Я имею ввиду, где смотреть, после того, как поставил галку?
Mac Safari Chrome
9
0
Daniil
Внезапно, я делаю стартап который как раз собирает и визуализирует такие ошибки. Там там на самом деле можно выцепить не только ошибку, но и всякое другое, например стэктрейс. Если интересно, то можем предоставить аккаунт. Не реклама, так что ссылку не даю, можно через личку.
Windows IE
13
0
D.iK.iJ
Лучше бы оставили ссылку. Тематическая реклама полезна.
Mac Safari Chrome
4
0
Daniil
Окей, все равно тут меня деанонимизировали: https://qbaka.com
Linux Firefox
2
0
sunchaser (#2018015)
кубака?
Windows Safari Chrome
3
0
Дункан Айклауд (#3670913)
Чем ваш стартап будет отличаться от Qbaka, Airbrake, Proxino и т.п. проектами, которые тоже умеют логировать клиентские ошибки?
Mac Safari Chrome
17
0
Daniil
Мы как раз Qbaka :) Приятно, что про нас знают.
Linux Firefox
12
1
Oreolek
Chrome позволяет ставить и обновлять плагины не из магазина проверенных расширений только через очень долгую и жёсткую последовательность действий (скачать файл на компьютер, открыть вкладку Расширений, перетащить файл на неё). Плюс Chrome насаждает на расширения очень жёсткую систему прав (обращаться только к указанным доменам и не более). Firefox очень сильно ругается, но позволяет ставить расширения с левых сайтов, а уже внутри браузера у них есть доступ ко всему. Антивирусы тоже проверяют расширения браузеров, кстати.

Это ж личное дело пользователя, на чём он там сёрфит интернеты. Например, я сижу на Firefox+Vimperator, чтобы полностью управлять браузером с клавиатуры, но от этого многие сайты могут ломаться, когда Vimperator перехватывает нажатия клавиш. Есть Unix-way браузеры на движке Chrome, вроде uzbl и surf, в самом коде которых есть ошибки (процессы вылетают на определённых страницах). От вебмастера же не требуется предусмотреть, что внезапно у человека рабочая область экрана 1836x278, настроена системная баннерорезка с правилами как ему захотелось, браузер перехватывает нажатия клавиш I,J,K,L, и автоматически передаёт страницу переводчику с чешского если на ней присутствует больше 4 Кб текста латиницей.

Всё, что может сделать вебмастер — это соответствовать стандартам и не надеяться на глобальное пространство имён Javascript. Валидная вёрстка и JS-код сделают потенциально меньше проблем подобным пользователям. А вот сами они поставили себе переводчик с чешского или это побочный эффект установки кейгена для Adobe Corel Autodesk MEGA Studio 66.6 - это вообще не его проблема.

Другая сторона проблемы намного серьёзнее: https://www.gnu.org/philosophy/javascript-trap.html. Коротко говоря, пользователь не знает, что делает его браузер когда он читает страницы в Интернете, потому что скрипты браузера тоже очень сильны. Вконтакте как-то раз собрал всех пользователей и натравил их DDoS'ить биржу антикапчи, потому что так им захотелось. Чтобы как-то от этого защититься, люди сделали расширение LibreJS, которое позволяет выполнять только скрипты с открытыми исходниками или короткие не обфусцированные. Мощности компьютеров растут, вы можете даже не заметить, что ваш браузер немного тормозит на странице, пока он ломает код Пентагона по прихоти вебмастера.
Windows IE
5
0
ChBRR
скрипты с открытыми исходниками - это мощно
Windows Opera
9
2
YuM (#3560880)
Да, такое выражение действительно имеет смысл.
http://ru.wikipedia.org/wiki/Обфускация
Windows Safari Chrome
6
1
[email protected] (myid.config.php)
> через очень долгую и жёсткую последовательность действий (скачать файл на компьютер, открыть вкладку Расширений, перетащить файл на неё)


ОЧЕНЬ долгая последовательность действий. ОЧЕНЬ...
Целых семь кликов.

(facepalm.jpg)
Windows Firefox
0
3
dredkin
Ну почему же обязательно расширения?
Возможно, просто XSS :)
Пример N5, на мой взгляд - очень на то похож.
Windows Firefox
 Richardson
6
1
Михаил (#1684620)
Ну да, какой-то чужой скрипт пролез в окно с дневником и долбится оттуда на какой-то третий сайт. Эдакий XDSS — cross-document and -site scripting. :-)

Леониду:
> меня задолбало, что в онлайн-банке Авангард беспрерывно мигает какая-то сраная строчка в меню

И поэтому вы сделали у себя такие отвратительно мигающие сноски? %)
Windows Firefox
 Новосибирск
4
0
ы (#3611007)
У меня не мигает.

Linux Firefox
 Москва
6
44
Фыва Jr Олдж (#1114686)
Что вы врёте, Михаил? Ничего не мигает и не моргает. Вы член ЛДПР, коммунист или из штаба Навального? Врут только они потому как.
Mac Safari Chrome
 Санкт-Петербург
33
0
ябло.ко (#1371756)
Бля, пацаны, он даже здесь умудряется.
Linux Firefox
 Москва
2
34
Фыва Jr Олдж (#1114686)
А я как Катон Старший: "В работе «Жизнь Катона Старшего» древнегреческого биографа Плутарха упоминается, что римский полководец и государственный деятель Катон Старший, непримиримый враг Карфагена, заканчивал все свои речи (вне зависимости от их тематики) в сенате фразой: «Кроме того, я думаю, что Карфаген должен быть разрушен»"

Только Катон говорил что Карфаген должен быть разрушен, а я говорю что Навальный должен исчезнуть. Вне зависимости от тематики обсуждения. Исчезнуть туда, где его вообще никому будет не слышно и не видно, вместе с лижущими ему жопу дегенератами.
Linux Opera
7
1
Leonid Kaganov
Надо терпеть. 25 лет назад мы все у него учились программировать )
Windows Firefox
22
0
Илья Цыгвинцев
Слушайте, вы можете воздержаться от политики в теме, абсолютно к ней не относящейся? Или вас Зюганов покусал, Жириновский обматерил или Навальный в пузико поцеловал, что вы вечно на них разговор переводите?
Linux Firefox
 Москва
1
29
Фыва Jr Олдж (#1114686)
Раньше этот дневник был отдушиной пока сам LLeo никогда и ничего не говорил тут о политике. Тут можно было отдохнуть от всего этого маразма. Но LLeo, несмотря на свои неоднократные обещания, до политики скатился. Если скатился сам LLeo, то почему бы мне тоже не упасть в ту же грязь?
Windows Safari Chrome
 Новосибирск
13
0
Igor
как вы это делаете?
привяжите Нпвального к фразе
'пропатчить kde2 под freebsd'?
Linux Safari
 Новосибирск
23
1
пыщпыщ (#3111016)
Я попробую:
Как известно, пропатчить kde под freebsd практически невозможно, потому что НАВАЛЬНЫЙ СУКА УКРАЛ ВЕСЬ КОД!!!!1111
Windows Firefox
2
0
stream
От браузера зависит IMHO.

На Firefox последнем вроде не мигало.
Сейчас смотрю с Firefox 3.0 :) -- мигают.
Windows Firefox
 Richardson
2
0
Михаил (#1684620)
Я тоже в Firefox могу пойти в about:config и поставить там browser.blink_allowed = false, чтобы не мигало :-) Но меня больше интересует, с какой целью Леонид прописал у этих сносок style="text-decoration:blink"...
Windows Firefox
0
0
[email protected]Кошак (cats-shadow)
Ничего не моргает, однако. Сноски, как сноски.
Windows Safari Chrome
0
0
Юрий Дятлов
Как справедливо указывали и Леониду - мигает кноп, под которой нечитаные новости. После входа туда и выяснения, что же Авангард нового выдумал в деле продажи билетов или бронирования отелей - больше не мигает. Авангард этим не злоупотребляет, так что кто прошёлся и всё посмотрел (и не переставляет браузеры) - тот мигания и не помнит.
Windows Opera
1
1
Денис Порфирьев
В опере 12 пользовательские скрипты на https не грузятся без разрешения пользователя. И разрешение спрашивается каждый раз. В FF не так? Или в авангарде не используют защищённое соединение?
Windows Firefox
1
7
Пашка (#3598238)
«Сегодня в большинстве случаев «операционной системой» настольных компьютеров стал браузер. У большинства пользователей компьютер загружается, открывается браузер, и все остальное происходит в нем: серфинг по страницам, почта, работа с офисными документами, чаты, просмотр видео и музыки — большинство задач пользователя берет на себя браузер.»
- Утверждение спорное и странное. Нет... Если бы не было написано "в большинстве случаев", то было бы спорное. а так похоже на очередную провокацию с целью... Да кто ж знает, какая у Ллео в этот раз цель?
Windows Firefox
1
9
leeuw
Как-то с трудом представляю себе работу с офисными документами в браузере...
Windows Firefox
9
1
serge.perovsky
Зайдите, к примеру, на Гугл-документы и увидите. Сейчас и многие корпоративные системы документооборота обзавелись веб-интерфейсом.
Windows Firefox
4
3
leeuw
Свои документы я предпочитаю хранить у себя на компьютере, а не на чьих-то серверах. Да и зависеть от работоспособности интернета как-то не хочется :)
Windows Firefox
12
1
serge.perovsky
Еще раз. Медленно.
Многие корпоративные системы документооборота имеют веб-интерфейс. При этом работают на внутренних серверах компании и от наличия интернета не зависят.
А вот увидеть, что в браузере можно редактировать не хуже, чем в Word'е можно в гугле.
Linux Firefox
 Киев
2
0
Esteban Garcia Estrada
И UTF-8 прикрутить бы. Вместо вопросиков буквы чтобы были, например B?? Martin
Windows Firefox
 Израиль
4
0
garik64
> У нас вообще изучается вопрос аудита браузерных расширений?
Плагины-кандидаты в mozilla.addons ждут в очереди, пока их не проверят вручную. Автор должен предоставить исходник с комментариями, описание всех функций плагина и ответить на вопросы.
Windows Safari Chrome
 Mississauga
0
0
Vadimus
Можно уговорить пользователя поставить плагин из файла
Windows Firefox
 Израиль
3
0
garik64
Можно и с сайта установить непроверенный плагин. Наплевать на все предупреждения и установить. А какая альтернатива? Не позволять вообще? Это прямой путь к диктатуре айтюнсу.
Mac Safari
2
4
Вячеслав Сомов
А чем плохо? К черту плагины. Пусть браузеры совершенствуют! В конкурентной борьбе. Вот ни разу плагин не ставил. Чесслово.
Windows Firefox
 Израиль
6
1
garik64
> Пусть браузеры совершенствуют! В конкурентной борьбе.
В конкурентной борьбе и побеждают те, кто ставит плагины.
> Вот ни разу плагин не ставил. Чесслово.
Гусар-схимник? :)
Я свой FF обвесил плагинами, как ёлку игрушками. Теперь вожу вокруг неё хороводы. С бубном и заячьей лапкой.
Linux Ubuntu Firefox
 Владимир
8
0
Adamos
Вам не жалко собственные глаза?
Мне иногда приходится видеть современный интернет без АдБлока - так жить нельзя...
Собственно, у меня в FF и стоят только Flash-плагин да два дополнения: АдБлок для себя и ФайрБаг для работы.
Mac Safari Chrome
0
1
unclegluk
Что-то у меня комментарии не оставляются.
Mac Safari Chrome
0
0
unclegluk
О, а с картинкой не хочет. Ладно, приведу текст вместо картинки.
Галочку поставил, но не вижу никаких ошибок. Куда смотреть-то? А вот что у меня выдает плагин Collusion for Chrome:
When you visit this site, the following sites are informed:
yandex.ru
yadro.ru
ajax.googleapis.com
addthis.com (зачеркнут)
twitter.com
openstat.net
twimg.com
google.com
googleusercontent.com
livejournal.com
ulogin.ru
loginza.ru
Windows Firefox
 Новосибирск
3
0
ы (#3611007)
Ghostery или AdBlock Plus помогут.
Linux Ubuntu Firefox
 Владимир
1
0
Adamos
Это большей частью список сайтов, с которых берутся иконки, остальное - счетчики.
Заблокировать это добро в АдБлоке, конечно, можно, но смысла в этом немного.
Linux Safari
 Новосибирск
1
0
пыщпыщ (#3111016)
Ну как знать, как знать. Про меня Крипта (вы же знаете про Яндекс Крипту?) ничего сказать не смогла. Ну и пусть маленький, но абсолютно лишний трафик мне тоже не нужен.
Linux Ubuntu Safari Chrome
6
7
фдуч (#1948959)
Технически задача обеспечения безопасности ОС вполне выполнима (пример: линукс), а браузера - тем более.

То, что в Windows с вирусами пользователю нужно ещё как-то специально бороться - это большой инженерный проёб, к которому маркетологи приучили всё человечество.

В случае браузера для решения проблемы на корню достаточно соблюдать принципы прозрачности ("я вижу список всех расширения браузера и всегда могу удалить любое") и фиксирование количества путей, которыми расширение может воздействовать на браузер.

А если с виду мирное расширение начнёт вдруг бузить, то на него всегда можно настучать гуглу, и его быстро прикроют.
Mac Safari
0
2
Вячеслав Сомов
Да, это самое оптимальное и компромиссное решение. Согласен полностью. Про винду вообще в точку сказано.
Windows Firefox
11
0
Св (#2980714)
Бля, я думал так только боты говорят.
Mac Safari
1
0
Вячеслав Сомов
Не не. Я живой.
Mac Safari
 Израиль
7
0
braintunic
Все боты так говорят... теперь не отмоешься))
Windows Safari Chrome
0
1
Паша Цветомузыка (#2008240)
Test
Linux Ubuntu Firefox
3
0
[email protected] (openid/id/76561197994882227)
тесть
Linux Safari
 Новосибирск
2
0
пыщпыщ (#3111016)
тесто
Windows Firefox
 Москва
2
0
Михаил
Те - сто, а эти - двести.
Windows Opera
4
3
Алекс (#3091455)
> Сегодня в большинстве случаев «операционной системой» настольных компьютеров стал браузер.

Не "операционной системой", а графической оболочкой или рабочим столом. Операционная система имеет ровно три функции: распределение ресурсов (процессорное время и оперативная память) между процессами и вообще поддержка процессов; ввод-вывод низкого уровня (контроллеры-шины-...); файловая(ые) система(ы). Над всем этим надстроен интерфейс прикладных программ (API). У нормальных людей (Юникс-Линукс-Мак) графика работает на уровне прикладных программ. В винде графику опустили на уровень ОС, с чего поимели нехилый геморрой - например, нормальных рабочих столов (больше одного) в винде до сих пор нет. А уж давняя история, когда из-за уязвимости в графике винды всем (!) производителям графического софта пришлось перевыпускать свои программы... я до сих пор смеюсь!
Windows Firefox
1
0
[email protected]Кошак (cats-shadow)
А как же Firefox OS (http://ru.wikipedia.org/wiki/Firefox_OS)? :)
Linux Firefox
0
0
Александр Ерещенко
Алекс привел техническое определение операционной системы. ОС пользователь не должен замечать вообще, он работает с приложениями. А сейчас повсеместно распространилось "ширпотребовское" определение ОС - не только ядро системы, но и вплоть до GUI, а для большинства пользователей, которым лень задаваться вопросом "как оно работает", интерфейс - это и есть отличительный признак ОС.
Mac Safari
 Израиль
3
0
braintunic
Это "ширпотребовское" определение ОС не сейчас распространилось, а давным давно.
Я до сих пор икаю, вспоминая, как в фильме "Парк Юрского периода" (1993 год!) девочка, изображая компьютерного вундеркинда, увидела на экране компьютера некую GUI программу с крутящимися 3D объектами и заявила: - "Это система Юникс, я ее знаю!" ... и тут же вошла в эту систему и начала закрывать двери перед носом динозавров :)
Windows Firefox
 Израиль
2
0
garik64
А что ей надо было сказать? По-моему, правильный подход. Она сказала слова, предназначенные для правильного зрителя. Того, кому неинтересно понимать разницу между гуем и системой, потому что если понимать, то когда же делом заниматься?
А против специалистов есть голливудские телефонные номера на "555" и прочее подобное. "У нас условность, претензий не принимаем". Вот, например, в последней серии "Декстера" герой взламывает чужой компьютер. Мне очень понравились IP.

Linux Firefox
 Москва
0
7
Фыва Jr Олдж (#1114686)
В некоторых фильмах раньше (когда не было засилия виндов) пароли набирали прям в командной строке DOS и когда им выводилось "Bad command or filename" говорили с умным видом что тут суперновая защита и потребуется много времени чтобы сломать пароль. Причём что меня всегда радовало -- иногда на этих компах с явным мс досом было нарисовано надкушеное яблоко (ни о каких Parallels в то время и речи быть не могло).

А сейчас любят показывать окно, в котором в цикле вывод dmesg, или в цикле вывод hexdump, или в цикле вывод ls -R /, или уже в графике пять-шесть виджетов показывают разным цветом в шестнадцатиричном виде содержимое /dev/random, а седьмой вижджет ниже рисует progress bar, шевеля процентами (как правило у них и ВНЕЗАПНО появилось у нас) или тупой модальный диалог Windows опять-таки с прогресс баром (в основном у нас).

Короче говоря это как речи и изыскания Навального полная наёбка в расчёте на неискушённых в этой сфере. Но в принципе это так и должно быть, "Пипл хавает!" (C) Богдан Титомир. Когда мне, к примеру, показывают космические кокпиты или как они ловко щёлкают абсолютно непонятными мне тумблерами, заводя двигатель вертолёта, я тоже принимаю это на веру. А фигли, непонятно, но красиво!
Mac Safari
 Израиль
1
0
braintunic
Firefox OS - это действительно операционная система, а вовсе не надстройка над браузером.
Как операционная система Firefox OS мало чем отличается от Android - то же Linux ядро, весьма похожая архитектура, только много ограничений, которых нет у Android.
Я бы сказал, что Firefox OS - это обрезанный Android.
Windows Firefox
 Санкт-Петербург
1
0
[email protected]Кошак (cats-shadow)
Я бы сказал, что это совсем не Android. Также, как Android - это совсем не Linux. Хоть всё и растёт от одного корня.
"Особенность Firefox OS в том, что на ней будут запускаться только те приложения, которые написаны на языках веб-программирования (HTML5, CSS и JavaScript). "
Mac Safari
 Израиль
1
0
braintunic
Именно так!
Имея практически идентичное ядро с Android, в Firefox OS они искусственно ограничили API, чтобы разрешить выполнение только аппликаций, написанных на одном из трех "любимых" языков.
Это я и называю "обрезание"))
Windows Firefox
 Новосибирск
4
0
ы (#3611007)
Сейчас это, конечно, неактуально, но "графика на уровне ОС" нехило так прибавляла в быстродействии.
Windows Safari Chrome
2
0
ValDav (#2567059)
Вообще-то ОС занимается вводом-выводом не только низкого уровня, а иногда очень даже высокого. Начиная с tcp/ip и кончая выводом human-readable сообщений об ошибках. И чего-то я не встречал браузеров, которые бы сами, к примеру, формировали IP-пакеты в обход ОС (другие приложения - встречал).
Windows Safari Chrome
2
0
ValDav (#2567059)
Вообще-то ОС занимается вводом-выводом не только низкого уровня, а иногда очень даже высокого. Начиная с tcp/ip и кончая выводом human-readable сообщений об ошибках. И чего-то я не встречал браузеров, которые бы сами, к примеру, формировали IP-пакеты в обход ОС (другие приложения - встречал).
Windows Safari Chrome
3
0
ValDav (#2567059)
Вот, блин, они во всей красе, скрипты с плагинами. Жмёшь "send", а это дурацкое модальное окошко не гаснет. Поди пойми, то ли сеть тормознула, то ли какой соседний акроридер докачал файло и перехватил фокус, то ли оно таки отправилось и надо жать релоад страницы...
Windows Firefox
6
0
Дмитрий Кириллов (kda-tomsk)
Большинству простых пользователей сегодня не важно, что у них за система — Виндоус или Линукс, потому что они перед собой видят лишь абсолютно стандартный Firefox или Chrome.

Верно подмечено. Как-то у меня Fedora стояла. Пришла в гости девочка, и что с системой что-то не так, поняла, когда ей зачем-то потребовалась кнопка Пуск. До этого сидела час и ничего не замечала )))
Windows Firefox
4
0
[email protected]Кошак (cats-shadow)
Всё так. :)
Мои мелкие, не задумываясь о различих, пользуются компами как с убунтой, так и с виндой. :)
Linux Firefox
2
0
Александр Ерещенко
Был еще случай, когда люди купили в супермаркете готовый комп с убунтой (когда она еще по-умолчанию с гномом была). Целый месяц спокойно им пользовались (интернет в первую очередь), но потом вдруг обнаружили, что игрушка с двд , который друг принес, почему-то не устанавливается.
Linux Firefox
4
0
bubbo
Поддерживаю. Девочка знакомая собираясь в универ купила себе ноут с убунтой. Если не ошибаюсь то с Цаплей. Сразу было объяснено что это не виндовс ни разу. Но девочке важно что бы была опера и где вбивать пароль на вайфай. Ну и умотала она на учебу. Там конечно хакеры хуякеры вчерашние школьники поналетели. Давай тебе винду ставить. Та сказала что на обруче всех вертела и ломать ноут не даст. Да и вообще никому не даст. Но суть не в этом. Выясняется что прошло пять лет. Целых пять лет эта бубунта там жила, как то там по себе обновлялась и ее основной работой было показывать браузер. Пришлось взглянуть на мир ширше. Почти все друзья, знакомые, родичи юзают исключительно браузер. Интернет это оказывается Вконтакт. Играют там же. Музыка и фильмы тут же. На работе вся бухгалтерия, учет, кадры, все через IE. Куды котимся?
Linux Firefox
 Москва
7
2
Фыва Jr Олдж (#1114686)
А однажды одна тётенька купила себе розовый ноутбук, принесла его домой, поигралась немного и спать ушла. А выключить забыла. А ночью ВНЕЗАПНО проснулась в 12 часов, пошла поссать, а когда проходила мимо ноутбука увидела что он ВЕСЬ ЧЁРНЫЙ!!!! Оказывается в нём аккумулятор китайский взорвался потому что китайское зарядное устройство вовремя зарядный ток не перестало подавать и всё сгорело!!!
Linux Opera
0
0
bubbo
Был у меня розовый ноутбук. Такая няшечка. Обшитый нежнейшей розовой кожей. Грусть печаль меня снедает. Кто ж его лапает сейчас?
Windows Firefox
0
0
vctor
Бывает прямо противоположная точка зрения.
Один именитый блогер считает любой браузер лишь подложкой для плагинов.
Если очередная версия браузера не поддерживает хоть один из его любимых плагинов, то сей блогер крепко ругается и грозится перейти на другой браузер.

А вот у меня минимум стандартных плагинов. Наворотов мне хватает в других программах, нужных мне для зарабатывания на жизнь.
Mac Safari
1
1
bambr
Вот чей-то Айпад4 ищет какой-то 'ReferenceError: Can't find variable: atomicFindClose'

Может это мой? Недавно лазил на сайт Эха Москвы, а там говорят много всякой хуйни наверчено. Может всё, пиздетс?
Linux Firefox
0
0
Л. Янукович
Зря вы на push.notif.9gag.com ругаетесь, у вас на x.binoniq.net та же самая "хакерская площадка на бесплатном хостинге", по сути.
Linux Ubuntu Firefox
 Москва
5
0
k1k_
Э... Можно я отвечу?
1. Червяк в виде плагинов для FF, Chrome, IE http://www.securelist.com/ru/blog/207763971/Chervyak_2_0_ili[...]
2. Бэкдор http://www.securelist.com/ru/analysis/208050759/Anatomiya_Fl[...]
3. Куча троянов под Chrome http://www.securelist.com/ru/blog/207764455/Vredonosnye_rass[...]
4. Банковский троянец для Firefox и Chrome http://www.securelist.com/ru/blog/207764132/Gauss_gosudarstv[...]
Ну и плюс всякие истории как уводят пароли разработчиков плагинов и вставляют в исходники всякую дрянь http://www.louder-now.net/2013/03/annoying-malware-httpwww-p[...]
Linux Ubuntu Firefox
 Москва
0
0
k1k_
Бугага
Windows Opera
 Новосибирск
0
0
vvs (#2713490)
А где смотреть, куда моя опера томится на ллео.ме?
Windows Firefox
1
0
[email protected]Кошак (cats-shadow)
offtop:
для такого оформления сносок в движке есть модуль, или вручную прописывать всё надо?
Linux Opera
2
0
Leonid Kaganov
Вы не поверите - {_SNOSKA: А тут текст<br>и еще _}
Windows Firefox
1
0
[email protected]Кошак (cats-shadow)
Нет, я таки выгрызу кусочек времени и таки напишу мануал/шпаргалку... :)
Windows Safari Chrome
2
0
Дункан Айклауд (#3670913)
> Я погуглил — говорят, какое-то «расширение» пытается что-то читать или писать в локальных файлах. Нормально, да?

У расширений хрома нет доступа к файловой системе. Да, страница может попытаться обращаться к ресурсами по протоколоу file://, но чтобы это разрешить пользователь должен сам зайти в настройки и поставить галочку "Allow access to file URLs". В любом случае, описанная вами ошибка к поптыке чтения локальных файлов отношения не имеет.

"Attempting to use a disconnected port object" как правило означает, что расширение пыталось писать в порт (так организован обмен сообщениями между скриптами на странице и фоновым скритом расширения), который уже закрыли. Это могло произойти если фоновый скрипт упал, или же криворукий программист сам закрыл порт в фоне, а контент-скрипты продолжают писать слать ему туда сообщения.
Windows Firefox
1
0
dluciv (#3592381)
Ещё могут быть (в качестве частных случаев) пользовательские скрипты с http://userscripts.org/

На самом деле, как и в случае с любым софтом, пользователи редко смотрят, что они ставят.
Windows Safari Chrome
0
0
morgot (#2556519)
Давно уже есть куча вредоносных плагинов, правда особо популярен ИЕ (из-за удобства разработки под него дополнений), и фф.
Mac Safari
3
0
LOL (#2899739)
> http://push.notif.9gag.com, больше всего сейчас напоминающий чью-то хакерскую площадку на бесплатном хостинге

9gag - это известный развлекательный сайт, вообще-то. И push.notif - это их "push notifications".
Linux Safari Chrome
2
1
Svami Dhyan Nataraj
Вообще, один из неплохих способов не словить какую-то гадость это Linux+No(t)Script.

В этом смысле ваш блог -- работает против безопасности: мне для того чтобы оставить комментарий приходится копировать ссылку из браузера в котором скрипты отрублены полностью (Konqueror) в браузер в котором оно отключаемо по контекстому меню плагина (cromium), включать там временно для сайта скрипты и писать комментарий.

Не все пойдут на такие сложности ради безопасности. А чем больше сайтов работающих только с JS тем больше искушения разрешить срипты широковещательно.
Linux Firefox
 Москва
2
3
Фыва Jr Олдж (#1114686)
Это уже паранойя.
Linux Safari Chrome
3
1
Svami Dhyan Nataraj
> Это уже паранойя.

Нет это профессионализм. Я слишком много знаю.

К примеру: http://www.pvsm.ru/javascript/29627 -- статья исходно с хабра (там ее почему-то потерли) про то, как ребята поломали 4pda и получили в том числе админские пароли.

С выключенными скриптами, и даже с NoScript этот номер не прошел бы.

Именно поэтому важно чтобы сайт работал и без скриптов, чтобы те кому это надо могли их выключить...
Linux Firefox
 Москва
0
5
Фыва Jr Олдж (#1114686)
Много ли народу дома держат форум, для которого не совсем радостен sql inject? И чем конкретно мне и прочим чисто домашним, без http и локальных, но доступных из интернета форумов, не параноикам %username% опасны скрипты?

~~~
[[email protected] ~]$ sudo netstat --ip -npl
[sudo] password for fywa:
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:28609 0.0.0.0:* LISTEN 1446/skype
tcp 0 0 0.0.0.0:902 0.0.0.0:* LISTEN 518/vmware-authdlau
tcp 0 0 0.0.0.0:873 0.0.0.0:* LISTEN 1026/xinetd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1031/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2004/sendmail: acce
netstat: no support for `AF INET (sctp)' on this system.
[[email protected] ~]$
~~~
Linux Safari Chrome
3
0
Svami Dhyan Nataraj
А причем тут дома? При чем тут injection? Вы текст прочитали? Там они вообще в базу не лезли, а вставили на страницу &lt;script src="blah-blah-blah"&gt;, который показывал фейковую страницу логина.

Уведенный пароль от админа -- это троян на главной странице. Не у всех линукс, кой-кому трояны страшны...

Уведенный пароль юзера, если у него он совпадает с паролем на почте -- это уведенные все аккаунты социальных сетей.

Этого мало?
Linux Opera
2
1
Leonid Kaganov
А также желательно черно-белая графика. Вдруг у кого-то старый монитор?
Linux Safari Chrome
4
0
Svami Dhyan Nataraj
> А также желательно черно-белая графика. Вдруг у кого-то старый монитор?

Черно белая графика совершенно не к чему. А вот глянуть на сайт через lynx -- не мешало бы. Существуют люди у которых проблемы со зрением, и они пользуются программами озвучки (я с такими знаком через одно рукопожатие) и для них в озвучке сайт будет восприниматься примерно так же как для нас под lynx, если читать слева направо сверху вниз.

Это тоже пользователи.
Linux Ubuntu Firefox
 Владимир
3
0
Adamos
Вообще-то есть довольно новые читники на E-Ink с вай-фаем, пользователи которых очень любят простую и контрастную верстку.
Windows Safari Chrome
5
0
Алексей
Пароль из поля с типом password (ненавистные вам звездочки) вы скриптами не перехватите.
Windows Firefox
2
0
null
Мне показалось, что Леонид говорит несколько о другом - о безопасности расширений, эддонов, плагинов, юзер-скриптов и т.д.
А password вытащить из этих всех браузерных надстроек проще пареной репы. Это даже из букмаклета можно сделать:
Сделайте букмаку/закладку в FF или Хроме, в адресе укажите
javascript:alert(document.getElementById("id002").value);
зайдите на морду Яндекса, набейте пароль для почты и нажмите на букмак. Если параноики из Яндекса не меняют ежечасно идентификаторы контролов, то увидите вовсе не звездочки.
Проверял только что.
Windows Safari Chrome
 Москва
1
0
Aleksej
Зачем столько слов. Попробуйте сделать яваскрипт на собственной странице, который схватит пароль с той же страницы c поля с типом password.
Linux Firefox
6
0
ИvN (ivn86)
>тэги записи: программирование
Кстати, с праздником, Ллео!
Mac Safari
0
5
Oleg Kuldoshin
А у меня тулбары завелись, во всех браузерах под виндоуз, conduit qvo6, и search.delta-home. Меняют ярлык браузера, стартовую страницу, один уничтожаешь regedit , выходит следующий, замедляют интернет, и говорят, воруют данные. Удалить полностью так и не смог, всю чувствительную информацию держу в iMac.
Linux Ubuntu Firefox
 Владимир
5
0
Adamos
Судя по описанию проблемы, вам лучше хранить чувствительную информацию в сейфе ;)
Linux Firefox
 Москва
2
1
Фыва Jr Олдж (#1114686)
А я вот просто когда устанавливаю что-то под вантузом и оно предлагает или добавить что-то в тулбар, или поменять стартовую страницу, или установить какой-то ублюдский Хром и сделать его брузером по-умолчанию просто не соглашаюсь или убираю галки, заботливо выставленные инсталятором в чекбоксах с точно такими же вопросами. И ничего не заводится, и ничего не устанавливается. Что я делаю не так?
Mac Safari
1
0
Oleg Kuldoshin
боюсь, что это вышло из-за того, что несколько раз я пользовался коллективным инсталлятором ninite.com, он смешивает несколько нужных программ и устанавливает за один раз, и галочки не появляются. Теперь буду знать цену бесплатного сервиса.
Linux Ubuntu Firefox
1
0
manigor
Придется и на Убунту ставить антивирус, чтобы он отлавливал деятельность скриптов в браузерах ?
Linux Opera
 Москва
4
0
Leonid Kaganov
Увы. У меня в Андроиде давно стоит антивирус. Не вирусы отлавливать, нет - вредоносный код. Я не могу знать, что содержит приложение, которое я сам установил.
Windows Safari Chrome
 Москва
0
3
Aleksej
А зачем вообще нужна лопата? Странный вы человек.
WiFi на фоне самом дешевом + планшет по вкусу по wifi, но без тырнета и почти нет проблем. Вирусы у меня вон и по десктопу шастают - было бы что воровать.

P. S. И это это за новая проверка - ее пройдет только бывший бухгалтер или я?
Windows Firefox
2
0
Неудобно придумывать логин ради критики... (#3672235)
Мигающие сноски крайне неприятны! Постоянно тянут на себя влияние (глаз-то реагирует на движение). Не нашла способа отключить, никакие примочки типа активстоп или тп не помогли (увы, я лох). Извините, Ллео... у вас замечательный дневник, спасибо вам за него. Но реально: неужели эти маленькие циферки - САМОЕ ГЛАВНОЕ в вашем тексте? Зачем постоянно приковывать к ним взгляд? Эффект как от маленьких ползающих насекомых.
Linux Ubuntu Firefox
 Владимир
1
1
Adamos
А всего-то и требовалось - обновить Файрфокс :)
Windows Firefox
3
1
Она же (#3333271)
Меня устраивает моя версия файрфокса, и я не собираюсь ее менять, чтоб на одном сайте тараканы прекратили шевелить усами.

Чем плохи обычные цифирки, которые НЕ мигают ни в каких версиях никаких браузеров? Типа, понтов мало?
Linux Ubuntu Firefox
 Владимир
5
0
Adamos
Обычные циферки, конечно, хороши.
Но эти! Они лучше! Они еще и работают индикатором, показывающим, что браузер устарел.

Насчет "устраивает" - это временно. Браузеры, как и антивирусы, уже давно предполагают беспроблемную работу только при условии хоть сколько-нибудь регулярного обновления. Собственно, они его сами и обеспечивают, достаточно им не мешать.
Windows Firefox
4
1
Она же (#3333271)
Нет, эти хуже - потому что не надо мне давать советы, как жить. Следующим номером мне какие-нибудь кривляющиеся крякозабры начнут кричать, что мол винда отстой, линукс фарева.
Windows Safari Chrome
8
0
hb (homebrewer)
Поделюсь парой случаев на тему "браузеры и пользователи" и "ОС и пользователи".

1. Рассказывал знакомый. "Чайник" в компьютерах, но всё же. Поставил он другу антивирус, вычистил скопище сатанинское из системы. Попили пива или водочки там, разошлись.
Друг звонит: словил локер.
Как же так? Антивирус же! Базы устарели? Неизвестный ещё вид?
Нет, всё проще. Искал "скачать фильм xxxx без смс". Нашёл какой-то гнилой сайт. Скачал .exe с названием фильма. Запустил. Система честно предупреждала, но он не внял. Запустился некий "плейер". Сказал, сейчас покажу фильм, но не могу, мол, антивирус мне мешает. Сам спросил, какой у пользователя антивирус. Сам показал, в картинках, как отключить. Потом скачал локер и залочил систему нахрен. Вот и как с таким бороться? Тут уже только массовые расстрелы...

2. Ближе к браузеру. Регулярно просят починить ВКонтактик. Коллеги, далёкие от IT вообще. Раньше сплошняком были файлы hosts переписанные, сейчас уже редкость. Чаще всего виновата некая программка для скачивания музычки и фильмов. Причём это не расширение браузера, нет, как можно. Вполне себе внедряется в систему и живёт там, перехватывая весь трафик, и подменяет пакеты, размещая рядом с музычкой кнопочку "скачать".
Причём написана криворуким, видимо, программистом. Ибо паттерны там какие-то уж больно убогие, ложных срабатываний полно! Чаще всего гробит какие-то функции самого ВКонтактика (самое известное - нельзя загрузить свою новую аватарку), но бывают и проблемы со сторонними сайтами. Бывает, что файл битый скачивается (причём не с контакта), или загрузка файла в середине или конце повисает, бывает, что страничка не грузится.
Причём пару раз сталкивался со скрытой установкой этой дряни - в глубине системных папок, без деинсталлера. И это мы ещё не знаем, не передаёт ли она каких логинов с паролямя куда-то. Не может ли, по команде, вдруг загрузить дроппер для ботнета?
Вот опять же, как тут быть, если сами тянут в рот всякую гадость?
Linux Safari
 Новосибирск
2
0
пыщпыщ (#3111016)
Это фигня, скоро с помощью google glass и iphone 5s большинство профилей окажутся привязаны к фото и отпечаткам. И вот тогда под предлогом борьбы с кибердемонами наш норот выдаст правительству такую индульгенцию на презумпцию невиновности, что начнётся лютый пиздец.
Mac Opera
0
1
bitl (#2166086)
Вот поэтому я никаких плагинов в браузеры не ставлю. Никогда.
Linux Firefox
 Москва
0
0
Фыва Jr Олдж (#1114686)
Firebug чтобы Java Script'ы смотреть и Download Helper чтобы flv понравившиеся с ТыТруба скачивать. Всё. Остальные плагины фтопку.
Linux Firefox
 Москва
0
1
Фыва Jr Олдж (#1114686)
> Если вы хотите сами видеть ошибки, которые выдает ваш браузер на моей странице, можете в своей карточке поставить галочку «показывать ошибки браузера».

Выставил ещё вчера, не показывает! Ничего не показывает! Обидно :-(
Mac Safari
 Израиль
1
0
braintunic
Придется вам таки установить десяток-другой плагинов, чтобы получить эти искомые ошибки браузера.
Ну дабы не было обидно ;)
Linux Firefox
 Москва
0
1
Фыва Jr Олдж (#1114686)
А зачем? Только чтобы ошибки генерить? Это неинтересно. Всё что мне реально надо у меня уже есть.

всего комментариев: 241

<< предыдущая заметка следующая заметка >>