LINUX.ORG.RU

GNU IceCat 45.5.1

 , ,


0

3

Вышла новая версия основанного на Firefox веб-браузера от проекта GNU — IceCat 45.5.1. От своего «родителя» IceCat отличается ориентированностью на защиту пользователя от слежки и проприетарных компонентов. В поставку включены: дополнение GNU LibreJS для блокировки проприетарного нетривиального JavaScript-кода, дополнение HTTPS Everywhere, блокировщик рекламы SpyBlock, дополнение HTML5 Video Everywhere.

Также присутствуют прочие улучшения для обеспечения большей приватности пользователя: по умолчанию используется поисковая система DuckDuckGo, содержимое заголовка HTTP Referer намеренно изменяется (в него включается адрес запрашиваемого ресурса), включена автоматическая отправка заголовка Do Not Track, отключены сторонние файлы Cookie, Flash, «социальные» функции и геолокация, запрещён доступ к буферу обмена из JavaScript и т. д.

Особенности этого выпуска:

  • Кодовая база синхронизирована с Firefox 45.5.1 ESR.
  • Дополнение HTTPS Everywhere обновлено до версии 5.2.7.
  • Отключены «вредные» функции: Encrypted Media Extensions, Flash, телеметрия, уточнение поисковых запросов, геолокация, GeckoMediaPlugins, Pocket и проверка дополнений по цифровым подписям. Поддержка WebRTC доработана для предотвращения утечки IP-адреса пользователя при работе через Tor.

>>> Подробности

★★

Проверено: Klymedy ()
Последнее исправление: sudopacman (всего исправлений: 5)

Как-то странно я его собрал ... В твиттере падает , причем стабильно падает . Установил из archlinuxcn - не падает . Еще в онлайн флеш-арканоид не поиграешь - не загружается игра до конца - кнопка «старт» не появляется . Поделитесь своими опциями для сборки , а то я что-то перемудрил .

anonymous
()

Годнота. В репы Parabola GNU/Linux-libre уже завезли

В принципе, наконец-то релиз адекватного браузера, Рубен и компания что-то долго его пилили.

Отключены «вредные» функции

Жаль нельзя так же выпилить HTML5, мультимедиа и JavaScript.

humptydumpty
()
Ответ на: комментарий от dogbert

Я лично нашел выход - пользуюсь мобильными версиями сайтов, того же вконтакта. И ничего не отключаю - больше пранойи богам паранойи.

humptydumpty
()

Говнота

Взяли бы хоть вменяемый релиз, а не протухший ESR, тогда можно было бы сравнить с человеческим фоксом. А так на 50 полёт нормальный, либрерасты не нужны.

anonymous
()

Говнота^2

В поставку включены: дополнение GNU LibreJS для блокировки проприетарного нетривиального JavaScript-кода

Ограничение свободы пользователя в чистом виде. ЕМНИП, эта параша даже eval уже считает нетривиальным.

anonymous
()
Ответ на: Говнота^2 от anonymous

Дурачок. Это предложение, не более. Ты можешь его удалить, а еще можешь собирать свой IceCat со свободой и пироженкой.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: Говнота^2 от anonymous

Ограничение свободы пользователя в чистом виде.

Нет. Свободу ваших действий здесь никто не ограничивает.

даже eval уже считает нетривиальным

А что, по-вашему это что-то тривиальное?

Zmicier ★★★★★
()
Ответ на: комментарий от Zmicier

Я хочу браузер, где есть только HTML4.01, без обработки тегов HTML5, потому что это гнойный и уродливый стандарт, раздувающий спецификацию яызка.

Как отключить мультимедиа, я уже нашел.

humptydumpty
()
Ответ на: комментарий от Zmicier

Да, это стандарт языка. Это распространённая вещь, используемая для динамического формирования кода. Лично писал пару вещей с эвалом (ну, не эвалом, а с конструктором Function, но суть та же), которые выполняли промежуточную компиляцию DSL в JS и запускали этот самый JS. Вангую, популярные платформы типа Emscripten на этой либрохрени вообще не заведутся.

А вот уродовать прекрасно сжимаемый код говномаркерами во имя кучки параноиков гораздо менее тривиально.

anonymous
()
Ответ на: комментарий от mandala

Если мне нужно будет опять собрать свой браузер, я возьму хромиум за основу. Зачем брать протухший ESR?

anonymous
()
Ответ на: комментарий от anonymous

даже eval уже считает нетривиальным

А что, по-вашему это что-то тривиальное?

Да, это стандарт языка.

И?

Это распространенная вещь

И?

Напоминаю, что вопрос был о том, не сигнализирует ли применение eval’а, что программа на Яваскрипте уже не настолько тривиальна, чтобы не придавать значения ее несвободе.

Единственным возражением по существу может быть пример тривиальной программки, в которой применение eval’а таки необходимо. Не демонстрационная, разумеется, а прикладная.

популярные платформы типа Emscripten [с LibreJS’ом] вообще не заведутся

Это преобразователь кода и немного библиотека, да? Так а что с ней не так — она свободная. Другое дело, что программа, что вы с ее помощью пишете может быть несвободной — тогда конечно, не должно «заводиться» — в этом весь смысл.

А вот уродовать прекрасно сжимаемый код говномаркерами

Уродовать? Как можно изуродовать программу комментарием?

гораздо менее тривиально

Просто бессмысленное утверждение.

Zmicier ★★★★★
()
Ответ на: комментарий от humptydumpty

Я хочу браузер, где есть только HTML4.01, без обработки тегов HTML5, потому что это гнойный и уродливый стандарт, раздувающий спецификацию яызка.

Обоснуйте, пожалуйста, на примерах.

По-моему, это долгожданное решение, хоть немного упорядочивающее и унифицирующее тот набор костылей, который каждый использует, как ему вздумается. То есть, безусловно верный путь. Жаль, что он не был пройден раньше, жаль, что стандарт по-прежнему охватывает так мало.

Zmicier ★★★★★
()
Ответ на: комментарий от Zmicier

Это преобразователь кода и немного библиотека, да? Так а что с ней не так — она свободная. Другое дело, что программа, что вы с ее помощью пишете может быть несвободной — тогда конечно, не должно «заводиться» — в этом весь смысл.

При помощи Emscripten можно оттранслировать в JS практически всё, что можно скомпилировать в LLVM. Как свободные программы, так и не очень. Сама платформа под это подстраиваться не обязана. Но с таким ограничителем не заведутся ни те, ни другие.

А вообще, какая пользователю, запускающему эту программу в изолированной браузерной непривилегированной песочнице, разница? На то ведь эту изоляцию и создавали, чтобы не дать ушлым авторам творить непотребство, не правда ли? А здесь по дефолту половина сайтов не работает из-за скрипта с эвалом. Пару раз юзер такое увидит - развернётся и уйдёт на нормальный браузер, где всё работает. А если допрёт, что там какое-то расширение стоит - не только отключит, но и пожалуется как на вредоносное.

И правильно, между прочим, сделает. Сама идея LibreJS абсурдна до безобразия. Как, собственно, любая идея, смысл которой состоит не в расширении функциональности существующих инструментов, а в её намеренном урезании.

Уродовать? Как можно изуродовать программу комментарием?

А так, что этот комментарий надо помещать в уже сжатый код. А он ещё будет конкатенироваться с другим сжатым кодом в целях экономии как трафика, так и количества запросов.

Смиритесь уже, веб стал такой же полноценной платформой, как и десктоп с мобильными. И внедрять на уровне браузера свои зонды, которые решают за пользователя, что ему запускать, а что нет - как минимум мерзософтом попахивает. Собственно, FSF - это и есть мерзософт, только с другим знаком.

anonymous
()
Ответ на: комментарий от anonymous

Точнее, соврал. Работать не будет не половина, а 99% использующих JS сайтов. Пересмотрел ту бредостатью и понял, что это также относится к createElement и AJAX-запросам.

Ну и кому оно надо,

anonymous
()
Ответ на: комментарий от anonymous

И внедрять на уровне браузера свои зонды, которые решают за пользователя, что ему запускать, а что нет - как минимум мерзософтом попахивает.

Тебе же не пихает этот зонд корпорация, прикрываясь красивой рекламой. Если пользователь решил поставить IceCat вместо firefox - причина может быть одна, ему самому нужен такой зонд, и блокирует он не вопреки, а по желанию пользователя в этом случае.

curufinwe ★★★★★
()
Ответ на: комментарий от curufinwe

Да с тем же успехом можно было и NoScript внедрить. Или вообще Dillo форкнуть вместо фокса. Или ты много знаешь сайтов с JS, которые ладно бы эвалы или косвенные вызовы, но не используют XMLHttpRequest или createElement? Под эту категорию как минимум всякие жоквери попадают, не говоря уж о более серьёзных либах и фреймворках.

В современном вебе использование такой пердятины равносильно носкрипту без вайтлиста. Так что штольманутые опоздали лет на 15. Как обычно.

anonymous
()
Ответ на: комментарий от anonymous

Как свободные программы, так и не очень.
Но с таким ограничителем не заведутся ни те, ни другие.

Вы о чем?

А вообще, какая пользователю, запускающему эту программу в изолированной браузерной непривилегированной песочнице, разница?

Простите, между чем и чем разница? И при чем здесь вообще песочница?

Пару раз юзер такое увидит - развернётся и уйдёт на нормальный браузер, где всё работает

Почему вы считаете пользователя идиотом?

А так, что этот комментарий надо помещать в уже сжатый код.

И?

Кстати, обратите внимание, что это не является единственным (и даже первым из рекомендуемых) способом пометить программу как свободную.

А он ещё будет конкатенироваться с другим сжатым кодом в целях экономии как трафика, так и количества запросов.

А что вы имеете против конкатенации? Бога ради.

Сама идея LibreJS абсурдна до безобразия. Как, собственно, любая идея, смысл которой состоит не в расширении функциональности...

Эко вас занесло!

Давайте продолжим список абсурдных до безобразия идей: блокировщик рекламы, антивирус... Продолжайте!

внедрять на уровне браузера свои зонды, которые решают за пользователя, что ему запускать, а что нет

Как вы лихо перекручиваете!

*За меня*, что мне запускать на *моей* машине почему-то считают возможным решать авторы многочисленных веб-страниц, а LibreJS — это один из инструментов, при помощи какого *я* отказываюсь от рядя насильно впихиваемых мне программ, конкретно — нетривиальной проприетарщины на Яваскрипте.

Кстати, я правильно понимаю, что в том, что программа, обоснованно содержащая eval, на тривиальную никак не тянет, вы согласились?

Zmicier ★★★★★
()
Ответ на: комментарий от curufinwe

XMLHttpRequest, как и всё нижеперечисленное, запрещается в скриптах, в которых отсутствуют маркеры /* @licstart @licend /* или что-то вроде того. А таких, ясное дело, подавляющее большинство.

Our tentative policy is to consider a JavaScript program nontrivial if:

it makes an AJAX request or is loaded along with scripts that make an AJAX request,

it loads external scripts dynamically or is loaded along with scripts that do,

it defines functions or methods and either loads an external script (from html) or is loaded as one,

it uses dynamic JavaScript constructs that are difficult to analyze without interpreting the program, or is loaded along with scripts that use such constructs. These constructs are:

using the eval function,

calling methods with the square bracket notation,

using any other construct than a string literal with certain methods (Obj.write, Obj.createElement, ...).

anonymous
()
Ответ на: комментарий от anonymous

бредостатью
пердятины
штольманутые

Если вы хотите вести конструктивную беседу, фильтруйте, пожалуйста базар. Спасибо.

Zmicier ★★★★★
()
Ответ на: комментарий от curufinwe

Если они XMLHttpRequest запрещают тотально, конечно это не вариант, смысла тут мало.

Никто ничего не запрещает! Прочитайте уже описание.

LibreJS — это такой NoScript, только не ручной, где каждую страницу надо проверять самому, а более умный — пропускающий программы:
а) свободные (разумеется, пока libastral на Яваскрипт не портировали, их для этого надо таковыми отметить);
б) тривиальные (ну не отмечать же все вплоть до window.scrollTo(...), в самом деле).

Zmicier ★★★★★
()
Ответ на: комментарий от anonymous

А таких, ясное дело, подавляющее большинство.

Вот! Вот вы и уловили проблемы, которую LibreJS пытается решить!

Zmicier ★★★★★
()
Ответ на: комментарий от Zmicier

Почему вы считаете пользователя идиотом?

Потому что не-идиот даже время тратить на айскэт не будет.

Как, собственно, любая идея, смысл которой состоит не в расширении функциональности...

Давайте продолжим список абсурдных до безобразия идей: блокировщик рекламы, антивирус... Продолжайте!

...а в намеренном её урезании.

Антивирус как раз нужен именно для защиты неизолированного окружения (особенно если оно представляет собой дыромаху в виде шиндовса). В браузере же песочница. JS-рантаймы открытых в разных вкладках страниц изолированы и скрипты на них могут общаться между собой только через postMessage, и то если это явно разрешено. Теперь ясно?

Блокировщик рекламы, в отличие от либрохрени, как раз даёт пользователю больше контроля (и, кстати, не только над скриптами), а не отбирает его, решая за юзера, какие скрипты в сэндбоксе для него вредны. Лично я предпочитаю решать вопрос радикально через /etc/hosts, но тут уже каждый пляшет как он хочет.

*За меня*, что мне запускать на *моей* машине почему-то считают возможным решать авторы многочисленных веб-страниц

Да ну? И много софта они поставили без твоего ведома? Они даже не могут расширение в браузер поставить. Файловую систему прочесть-записать тоже не могут (хранилища типа localStorage и indexedDB тоже по доменам изолированы и жёстко квотированы). Вообще ничего вредоносного сделать не могут. Времена IE6 прошли, очнись.

а LibreJS — это один из инструментов, при помощи какого *я* отказываюсь от рядя насильно впихиваемых мне программ, конкретно — нетривиальной проприетарщины на Яваскрипте.

Каких программ, какой проприетарщины? jQuery содержит вызов XmlHttpRequest, но не содержит штольманских маркеров - так что, это проприетарщина теперь? Какая пользователю разница, под какой лицензией используется JS-код, если он за пределы браузера никуда не выходит и нужен для обеспечения полноценной функциональности сайта (веб-приложения) и только для этого? Что за нездоровый фанатизм? Всегда есть выбор не пользоваться такими страницами или страдать от отключенного JS, если что. Но авторы библиотек и фреймворков в этом не виноваты. Они на здравомыслящую аудиторию ориентируются всё-таки.

anonymous
()
Ответ на: комментарий от Zmicier

Он пытается решить несуществующую проблему. Не впервые для GNU, в общем-то.

anonymous
()
Ответ на: комментарий от anonymous

не-идиот даже время тратить на айскэт не будет
либрохрени

Вы, кажется, не вняли моей просьбе.

Каких программ, какой проприетарщины?

Несвободных. «Проприетарщина» — это несколько пренебрежительное слэнговое название для несвободных произведений.

jQuery содержит вызов XmlHttpRequest, но не содержит штольманских маркеров - так что, это проприетарщина теперь?

Да нет же, Жуквери на условиях лицензии Expat, вроде бы. Это свободная лицензия.

...изолированы и скрипты на них могут общаться между собой только через postMessage, и то если это явно разрешено. Теперь ясно?

Да я, вроде бы, в курсе, как это задумано. Только какое все это имеет значение? Загнанная в клетку несвободная программа свободной от этого, очевидно, не становится.

Блокировщик рекламы, в отличие от [LibreJS], как раз даёт пользователю больше контроля, а не отбирает его, решая за юзера

Пойдите уже разберитесь, что такое LibreJS, и прекратите изливать желчную ложь.

Zmicier ★★★★★
()
Последнее исправление: Zmicier (всего исправлений: 1)
Ответ на: Смерть луддитам от anonymous

As the Liberty lads o'er the sea Bought their freedom, and cheaply, with blood, So we, boys, we Will die fighting, or live free, And down with all kings but King Ludd!

Links2 не поддерживает нормальный рендеринг таблиц и не полностью реализует божественный HTML4.01. Хороший браузер такое умеет.

Все же, что после и кроме - ересь, зло и гной.

humptydumpty
()
Ответ на: комментарий от Zmicier

Поясняю. Hypertext значит (вот сюрприз) гипертекст. И только средства работы с текстом + минимальные средства встраивания картинок должны поддерживаться этим стандартом.

Видео, каскадные таблицы стилей, анимация, canvas, музыка и прочее говно в Интернете нужны только быдлу не способному к нормальному восприятию письменной речи и желающему превратить любой канал коммуникации в телевизор - чтобы показывали нескучные картинки и не надо было думать.

humptydumpty
()
Ответ на: комментарий от humptydumpty

и желающему превратить любой канал коммуникации в телевизор - чтобы показывали нескучные картинки и не надо было думать.

Отлично коррелирует с твоей аватаркой.

anonymous
()
Ответ на: комментарий от Zmicier

Да нет же, Жуквери на условиях лицензии Expat, вроде бы. Это свободная лицензия.

Вот именно. Жквери распространяется на условиях свободной лицензии. Но тем не менее для либрежс её код надо явно промаркировать. Или всё-таки какой-то вайтлист объектов существует? Поясняю: во время автоматической конкатенации всего сжатого кода в бандл, само собой, включается и жквери. Но все комментарии оттуда вырезаются. Это повсеместная практика.

Загнанная в клетку несвободная программа свободной от этого, очевидно, не становится.

Юзеру-то что от её несвободности, если благодаря сэндбоксингу никаких вредных для него эффектов наблюдаться не будет? Хотя меня больше интересует обратное: что юзер (даже не идиот) может самостоятельно сделать даже в том случае, если подобный «нетривиальный» скрипт правильно промаркирован? Больше возможностей отладки и рантайм-патчинга это ему не предоставит, при возникновении проблем в обоих случаях придётся обращаться к автору или даже владельцам ресурсов, на которые делаются те самые AJAX-запросы.

Современный клиентсайд - штука, знаешь ли, сложная. Ситуация одного сферического скрипта в вакууме, конечно, ещё кое-где актуальна, но среднестатистическое веб-приложение - это эдакий системд, в котором компоненты по отдельности особой ценности не представляют, а вот в связке могут жечь напалмом. И на общую сложность системы лицензия кода особо не влияет. Равно как и на экспириенс для конечного пользователя.

anonymous
()
Ответ на: комментарий от curufinwe

Ну можно и скриптом. Правда, придётся где-то хранить маппинг ссылок на несжатые исходники или версию лицензии.

anonymous
()
Ответ на: комментарий от anonymous

Или всё-таки какой-то вайтлист объектов существует?

О, господи! Сколько времени вы уже потратили на написание злобных комментариев, вместо того, чтобы: а) пойти прочитать несколько справочных страниц [0][1][2][3] (я, надеюсь, вы читаете по-английски?); б) поставить и пощупать.

[0] https://www.gnu.org/philosophy/javascript-trap.html
[1] https://www.gnu.org/software/librejs/
[2] https://www.gnu.org/software/librejs/free-your-javascript.html
[3] https://www.gnu.org/software/librejs/manual/librejs.html

Ответ на конкретно этот вопрос изложен на [2]:

Scripts that are not yours, but are free

This is often the case with libraries, such as jQuery, Ember, Angular, and any other libraries or frameworks you're using. LibreJS detects many free libraries by default. For a current list of the JavaScript libraries that LibreJS whitelists by default, see script-libraries.json. There are too many JavaScript libraries and versions of those libraries for LibreJS to keep track of, so you will likely need to add license information for the libraries you use. By looking at the source code or checking the upstream site, you should be able to tell what license is being used. Please ensure these licenses are free and GPL-compatible.

Zmicier ★★★★★
()
Последнее исправление: Zmicier (всего исправлений: 2)
Ответ на: комментарий от Zmicier

Ну и? Ты хоть видел, что там в script-libraries.json? Правильно, там ссылки на внешние ресурсы. А речь идёт о ситуации, когда всё, включая эти самые свободные библиотеки, физически бандлится в один-два JS-файла. Поэтому я и спрашивал об объектах, а не файлах. В сжатом виде их код может совершенно не так выглядеть.

anonymous
()
Ответ на: комментарий от anonymous

Ты хоть видел, что там в script-libraries.json?

Конечно.

А речь идёт о ситуации, когда всё, включая эти самые свободные библиотеки, физически бандлится в один-два JS-файла.

Вы хотите, что LibreJS умел находить свободную библиотеку в «бандле»? Нафига? Ведь если «бандл» состоит хотя бы из чего-нибудь, кроме библиотек (то есть в ста процентах случаях), то его все-равно явно помечать.

Zmicier ★★★★★
()
Ответ на: комментарий от Zmicier

Ну вот об этом и речь.

А теперь - внимание - вопрос: даже если с помощью «нетривиального» кода действительно когда-нибудь научатся обходить изоляцию и выполнять что-то реально вредоносное, то что мешает потенциальному злоумышленнику пометить такой код как свободный для обхода проверок LibreJS?

Короче, мой вердикт таков: это дополнение - совершенно бесполезное поделие для усложнения жизни красноглазых, дающее им ложную иллюзию защищённости от гипотетической злобной проприетарщины в песочнице браузера, но при этом неспособное противостоять никакой реальной угрозе и ничуть не упрощающее работу со скриптами со стороны конечного пользователя. Эталонное ненужно.

anonymous
()
Ответ на: комментарий от anonymous

если ... научатся обходить изоляцию и выполнять что-то реально вредоносное

Во-первых, почему «если»? Из самого громкого последнего года — дыра в pdf.js, например. Не слышали, не?

то что мешает потенциальному злоумышленнику пометить такой код как свободный для обхода проверок LibreJS?
ложную иллюзию защищённости

А во-вторых, ПРИ ЧЕМ ЗДЕСЬ, черт возьми, ЗЛОУМЫШЛЕННИКИ И ЗАЩИЩЕННОСТЬ? Который раз вы уже этот тезис вбрасываете, а потом «с блеском» сами же его опровергаете?

Пойдите уже, почитайте, для чего нужен LibreJS — это *не* «антивирус», он *не* от вредоносных программ, а от несвободных.

Zmicier ★★★★★
()
Ответ на: комментарий от Zmicier

Фанатомас разбушевался ©

Из самого громкого последнего года — дыра в pdf.js, например. Не слышали, не?

Это вот эта, что ли, прошлогодняя? Ну так это плагин, который уже изначально запускается с повышенными привилегиями. Речь ведь не о криворуко написанных плагинах, а об обычных веб-страницах. A pdf.js как загружаемая с обычной страницы библиотека на штатно запущенном браузере даже теоретически неспособна влезть в локальную ФС. Ей просто не дадут.

А во-вторых, ПРИ ЧЕМ ЗДЕСЬ, черт возьми, ЗЛОУМЫШЛЕННИКИ И ЗАЩИЩЕННОСТЬ?

Я пытаюсь донести одну-единственную мысль - LibreJS пытается решить несуществующую проблему. До тех пор, пока скрипты на странице запускаются в изолированном, унифицированном и контролируемом окружении и делают что-то полезное, вменяемому пользователю совершенно фиолетово, под какой лицензией они распространяются, чем и как они были скомпилированы и сколько эвалов с ажаксами они содержат. Равно как и авторам большинства сайтов совершенно пофигу на какие-то специальные маркеры, которые не добавляют ровным счётом ничего, кроме лишних байт. И ради 0.00001% они не будут перелопачивать уже готовый и отлаженный код.

Так что смирись, куча веб-приложений с этим дополнением работать не будет. Тупые параноики опять в меньшинстве. Ой, вот ведь незадача! © Firefox

anonymous
()
Ответ на: Фанатомас разбушевался © от anonymous

Это вот эта, что ли, прошлогодняя?

Да.

Речь ведь не о криворуко написанных плагинах, а об обычных веб-страницах.

Перечитайте заметку, пожалуйста.

Можете здесь, на ЛОРе, пересказ найти, если английский разбирать сложновато. Более того, в отличие от статьи в блоге «Мозиллы», я там даже пример зловреда на Яваскрипте приводил.

LibreJS пытается решить несуществующую проблему

Нет, она пытается если не решить (решение все-таки совсем в другом), то обозначить не просто «существующую», а прогрессирующую дикими темпами проблему.

Так что смирись, куча веб-приложений с этим дополнением работать не будет.

Что значит «смиритесь»? Вы так и не смогли осознать, что LibreJS для того и написана, чтобы куча проприетарщины, навязываемой веб-серферу, на его машине ненароком не заработала?

До тех пор, пока скрипты на странице запускаются в изолированном, унифицированном и контролируемом окружении...

На дворе мочало — начинай с начала!

Тупые параноики опять в меньшинстве

Да нет, увы, практика показывает, что в большинстве. При этом еще и в довольно агрессивном большинстве. Но это к делу не относится.

пользователю совершенно фиолетово, под какой лицензией они распространяются...

Тьфу-ты! Вы все-то хотели высказать банальность, что значительная доля людей не задумывается о своей вычислительной свободе? И для этого вы развели всю эту демагогию про «песочницы», «бандлы» и пр.?

Zmicier ★★★★★
()
Ответ на: комментарий от Zmicier

я там даже пример зловреда на Яваскрипте приводил.

Talk is cheap, show me the code. ©

Сырец в студию. Можно даже минифицированный, мне это, в отличие от некоторых, не страшно. Можно на гитхабовский гист, если здесь есть риск схлопотать бан. До тех пор не поверю.

а прогрессирующую дикими темпами проблему.

У меня уже открыт оригинал на английском, зачем кривой перевод? Так ведь это не проблема ни для кого, кроме ГНУсных параноиков. И в предыдущем посте я, кажется, доходчиво объяснил, почему.

Не доходчиво? Ладно, возьмём другой пример. Где сейчас обычно запускают код, к которому нету доверия? В контейнерах или виртуальных машинах. Несвободную винду, когда надо было, я пускал именно в виртуалке. И мне пофигу было, что она несвободная - доступа к реальному железу она не имела, сетевой доступ открывался единоразово. Сделал, что надо, и снёс к хренам. Так вот, виртуальные машины с JS-рантаймом создаются и грохаются автоматически для каждой вкладки.

навязываемой веб-серферу

Да никто никому ничего не навязывает. Хотите - включайте, хотите - отключайте, только не жалуйтесь потом, что у вас ничего не работает и что веб такой плохой.

значительная доля людей не задумывается о своей вычислительной свободе

Значительная доля людей не видит, в чём их вычислительную свободу ограничивают, и чем запуск жквери отличается от запуска иначе лицензированной библиотеки. В обоих случаях исходник в том или ином виде грузится на клиентский браузер и выполняется. В обоих случаях с равной степенью успеха можно посмотреть в отладчике, что он делает. В обоих случаях ничего плохого он сделать не может в принципе. В обоих случаях при возникновении проблем надо обращаться к автору, т.к. контроля над сервером пользователь в общем варианте не имеет. В чём несвобода-то?

anonymous
()
Ответ на: комментарий от anonymous

в студию.

Вам мастер-класс по поиску в Гугле провести? site:www.linux.org.ru firefox pdf.js — первая же ссылка, ветка о четырех страницах. На третьей первое же письмо от моего имени — то, что вы ищете.

Zmicier ★★★★★
()
Ответ на: комментарий от Zmicier

Интересно было почитать, спасибо, но всё равно это эксплойт, который таргетил уязвимое расширение, которое должно было быть кем-то уже установлено. Pdf.js как библиотека всё-таки здесь ни при чём.

window[my_win_id].location='data:application/x-moz-playpreview-pdfjs;,';

Кстати, регистрацию таких вот хэндлеров, ЕМНИП, тоже можно запретить. С этим мозилловцы, конечно, лажанулись - разрешать привилегированный код в айфреймы встраивать.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.