- Mesterséges Intelligencia topik
- Musk azt mondja: a gondolatával mozgatja az egeret a Neuralink első betege
- Kínai cégek segítik ezentúl a Teslát, a Renault-t, a Hyundait és a Toyotát
- Windows 11
- Mikrotik routerek
- 1000 kilométert mehetnek az EV-k az új CATL-akkuval
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- ASUS routerek
- Windows 10
- Router gondok
Új hozzászólás Aktív témák
-
#15
romeomalac
tag
julius666
#14
romeomalac
tag
válasz
julius666
#14
üzenetére
hát ez azért az oldalt minősíti. Szóval ha nem tudsz JS nélkül navigálni egy oldalon az eléggé fail az oldal szempontjából. Amúgy is az egész JS hatalmas kockázatot jelent az ilyenek miatt a felhasználóra, plusz még lassú is. Nem mondom, hogy nincs haszna, de a kockázat általában túl nagy ehhez képest...
Mindenesetre tökéletes védelem csak akkor lesz a netes cuccok ellen ha kihúzod a netkábelt. Addig meg minimalizálni lehet a veszélyeket. Mert lássuk be nem mi leszünk az összes hacker célpontjai, meg aki ésszel látogat oldalakat azzal is már a legtöbb dolgot ki lehet szűrni
-
Brutforsz
aktív tag
válasz
julius666
#14
üzenetére
Igen, szerintem egyszerűbb manuálisan engedélyezni a ténylegesen szükséges szkripteket, mint mindent szabadjára engedni – onnantól tulajdonképpen az oldal készítője irányíthatja a böngésződet.
A navigálós kifogásod illusztrálja, amit írtam: ahol az szükséges, adsz engedélyt arra, hogy az adott oldalon lévő parancsfájlok lefussanak, és máris működik a csili-vili menürendszer, de a lap használatához nincsen szükséged (általában) 3. féltől meghívott szkriptekre.
Te sejted, kik vagyunk, mi tudjuk, ki vagy.
-
Penge_4
veterán
válasz
julius666
#51
üzenetére
"Baromira NEM egyszerű és kényelmes scriptenként manuálisan b@szakodni. Tudom, pár hónapig én is használtam."
Mint mondtam, felhasználási szokásoktól függ, maradjunk ennyiben. Én tipikus prompt ellenes vagyok, a NoScript már nekem is túlzás lenne, de ugyanúgy az úszkáló szarságokat is rühellem.
Megpróbálom egy gyakorlati példával szemléltetni. Vegyünk egy oldalt:
Ezekből a scriptekből mi az, amire feltétlenül szükségem van az oldal teljesértékű használatához?
Talán a Google Searchbox script okozza az egyetlen hátrányt, mégpedig eltűnik a formból a "Google Custom Search" színes felirat, ettől függetlenül a kereső is tökéletesen működik.Ezen kívül, adocean script nem kell (ez alapból blokkolva is van), analytics sem (ez is), a két twitteres hülyeség és a facebook meg pláne nem.
Ettől függetlenül elismerem, hogy Gizikének ez nem alternatíva.
"Na igen, és mi van ha az ADOTT OLDALON van a szutyok?"
Akkor a block-external és a BlockIt blokkolja és már rajtad áll, hogy engedélyezed-e, a block-external pedig nagy valószínűséggel megfogja.
De nem is ezért szeretem, hogy esetleg két évben egyszer hasznát veszem, hanem napi szinten hasznát veszem.
"Már nem is ér semmit az egész, csak a felesleges meló volt vele."
Fekete-fehéren látod. Úgy fogod fel, mintha valaki csak azon egyetlen célból tenné fel, hogy ez majd 100%-osan, de minimum 99%-ban megvédi őt. Aki csakis kizárólag ezért használja annak valóban csak a felesleges meló van vele. De ha a megspórolt időt, a kényelmet, a megspórolt CPU használatot vesszük már akkor megérte.
A megspórolt memory leak-ekről és a megspórolt összeomlásokról nem is beszélve.
Összeomlást az esetek 99%-ában két dolog okoz. Plugin (főleg Flash) és JavaScript.
Ezek arányra lebontva: 80% Flash, 10% egyéb plugin és 10% JavaScript.
JavaScript esetén is valamilyen reklám, vagy non funkcionális szemét.
Mellesleg néhány igénytelen oldalon komolyan elgondolkozom azon is, hogy kikapcsolom a CSS-t is és csak az gátol meg benne, hogy olyankor egymás alá pakolja a kis képeket (amik jó esetben még az összes menüelemet is tartalmazzák) és sokat kell görgetni+nehezen átlátható.
"Persze nyilván a honlap készítője a hibás, mert nem írt meg gyakorlatilag egy külön honlapot annak a pár majomnak, aki tiltogatja a javascriptet."
Igen, ő a hibás! És nem azért, mert nem ír külön honlapot, hanem azért, mert nem szabványosan írja meg, mert akkor az oldal tartalmának nagyrésze enélkül is megtekinthető lenne. Most direkt kipróbálom, Operában kikapcsoltam a JavaScriptet, megnézzük elmegy-e ez a hsz.
szerk: Jé, láss csodát: Elment. A "Sikeres hozzászólás" után manuálisan kellett továbbmennem és a formázó userJS-em sem működött, ahogy a gombok sem, de amire nem feltétlenül szükséges a JS, arra nem használ a PH JS-t.
Miért? Mert Parci, Panther és a többiek webfejlesztők, nem pedig suttyók.
Tudom, ez nem vigasztal senkit, mivel az oldalak nagy részét nem ilyen minőségi módon kódolták.
[ Szerkesztve ]
-
Brutforsz
aktív tag
válasz
julius666
#51
üzenetére
Számomra nem okoz problémát e kiterjesztés használata, a gyakran látogatott oldalak fehérlistában vannak (be lehet egyébként állítani úgy is, hogy a könyvjelzőből megnyitott webhelyeknek automatikusan engedélyezi a futtatást), a gyakori szarok feketében; naponta legfeljebb kétszer van szükségem arra, hogy azt a rendkívül bonyolult két kattintást elvégezzem, amely ahhoz szükséges, hogy az éppen meglátogatott – és szkriptek nélkül használhatatlan oldal ideiglenes engedélyt kapjon. Számos idegesítő szokásról sikerült a kiterjesztés segítségével lebeszélnem weboldalakat, s így számomra egyszerűbb a böngészés.
Ha konkrétan az adott oldalon van gáz, az ellen nem véd, jól látod, csakhogy szinte mindig harmadik féltől származó parancsfájlokkal van a gond. Mint azt már korábban jeleztem, nem csupán biztonsági megfontolásokról van szó: miért természetes dolog az, hogy egy weboldalra lépve tucatnyi különböző statcounter meg amung.us meg googlesyndication szkriptet kell lefuttatnia a böngészőnek?
Ha már voltál kedves majomnak nevezni azokat, akik szeretik maguk megadni a lehetőséget az egyes helyeknek a kapcsolatfelvételre, minek nevezed azokat a webfejlesztőket, akik mindenféle szarral pakolják tele a weboldalukat (amit előre, ugye, nem látsz, csak ha már letöltötted az oldalt, és – az általad kedvelt policy alapján – lefutott az összes szkript)?
Azért nem Lynxben böngészek, mert számos fontos vizuális információt kénytelen lennék nélkülözni. De nem is értem, ez hogyan kapcsolódik ide: én ugyanis nem sírtam amiatt, hogy sok meló van a Firefoxszal meg a NoScripttel, sem azért, hogy megint egy biztonsági rés került reflektorfénybe; nagyjából ismerem a program kockázatait és mellékhatásait, s ezeket a tudáskészletével együtt mérlegre téve döntöttem úgy, hogy ezt fogom használni.
Te sejted, kik vagyunk, mi tudjuk, ki vagy.
-
stribika
csendes tag
válasz
julius666
#51
üzenetére
Ez a noscript cucc XSS ellen sokszor megvéd úgy is, hogy a sebezhető oldalt engedélyezted. Általában nem az a helyzet, hogy egy oldal, amit tényleg használsz, el akarja lopni a jelszavadat. Inkább valaki ilyen oldalra linkel fórumpostban, te meg ráklikkelsz, a cél oldalt eszedben sincs használni. Ez, vagy XSS, ami meg gyakran más domainről hozza be a kódot.
És nem kell minden oldalt engedélyezni, ami nem működik, lehet keresni megbízhatóbbat, vagy olyat, amit hozzáértők csináltak. Tapasztalatom szerint a legtöbb oldal megy js nélkül, esetleg kevesebbet tud. (Végül is a googlebot sem futtat js-t, mégis látja.) De ha úgy használod, hogy ha észreveszed, hogy valami nem megy, akkor gondolkodás nélkül engedélyezed az oldalt, az is sokat használ. Pl egy fórumon nem is fog hiányozni a VPS szövegdoboz, jó lesz a sima is.
A legjobb, hogy néhány oldal _jobban használható_, ha letiltod. Láttam olyanokat, hogy engedélyezve nem tudsz szöveget kopipésztelni, képet menteni onnan, vagy kiírja, hogy ne használj adblockot, jóval lassabban tölt be, stb.
Mindezek ellenére sem lehetsz teljesen biztonságban, nyugodtan lehet kihasználható hiba a HTML vagy CSS parserben is, a HTTP kliens implementációban, vagy akár a TCP/IP stackben.
-
Penge_4
veterán
válasz
julius666
#59
üzenetére
"Az meg hogy majd a forráskódban fogok kutakodni még viccnek is rossz."
Nem kell. Van ilyen slide-osan lecsúszó stílusos kis sajátgombom, ami megmutatja az oldalon futó scripteket.
"a kiemelt szavakat igazán leírhatnád hogy honnan szedted. Ezek pont hogy a noscript negatívumai."
Az idő semmiképpen sem, mivel oldalbetöltésenként 3-4 másodpercet is megspórol és maximum 15-20 oldal (ami idővel egyre csökken) után vesz igénybe attól függően, hogy ismered-e a billentyűparancsokat, vagy milyen sebességgel mozgatod az egeret szintén olyan 3-4 másodpercet.
Szóval: oldalbetöltés: 1000 oldal * 4 másodperc = több, mint 1 óra.
1000/20=50*4=200 = kevesebb, mint 5 perc.
Tehát 1 óra - 5 percet spórolsz.
A kényelem egyéni preferencia kérdése.
Ha számomra 20-ból 1 alkalommal kell kattintanom plusz egyet és cserébe 19 alkalommal egy tiszta, könnyed oldalt kapok mindenféle szenny nélkül az már kényelem.
Ha trükközés nélkül számomra alap, hogy működik a jobbklikk, működik a szövegkijelölés, a képmentés, hogy működik a középsőklikk, stb.
"Chrome, és az összeomlások máris nem annyira jelentős problémák."
[link] Katt a start worker gombra és folytasd a böngészést, amíg nem lesz kényelmetlen számodra a böngésző egyre növekvő válaszideje.
De épp ma találtam egy CSS3-mal dúsított oldalt. Operában is lassul a scroll, de a Chrome-ban szinte lehetetlen scrollozni, pedig még smooth scroll sincs: [link]
De ígérem habár nem keresek ilyen oldalakat, de ha belefutok egybe, akkor feltétlenül postolom, ami megfekteti a Chrome-ot.
"Mégis mi a tököm köze van a szabványosságnak a javascripthez? A javascript is szabványosítva van. Ezzel egyáltalán nem is értem mit akartál írni."
Az, hogy olyasmire nem használunk JavaScriptet, amire nem való. Tehát helyén használjuk a HTML-t, a CSS-t és a JavaScriptet is.
A JavaScript nincs szabványosítva, az ECSMAScript szabványos, a JavaScript egy ősrégi Netscape fejlesztés, amit támogatnak a böngészők, de a valódi szabvány az ECSMAScript.
Egyébként a sors fintora, hogy a Netscape-ből nőtt ki a Mozilla, a Mozilla technológiai igazgatója Brendan Eich és mégis ilyen durva JS sebezhetőségek vannak benne.
(#61) Sweet Lou 6: Most néztem és tényleg. Pedig régen nem működött még a 2-es verziókban. Azóta FF-al nem néztem PC Fórumot (meg évek óta leginkább semmivel).
Viszont most nézem, Chrome-ban és IE-ben még mindig necces. Ráadásul abban még korlátozottabbak is a lehetőségek.[ Szerkesztve ]
-
Penge_4
veterán
válasz
julius666
#79
üzenetére
"Most a ff-es noscriptről van szó."
Akkor beszéljünk. FF konkrétan az XSS probléma miatt NoScript nélkül életveszélyes.
"De az adott domainen lévő köcsög scriptek ellen ennek ismerete sem véd. Max ha belenézel a forráskódba."
És amikor a warezoldalak többsége amit a Google-val találsz valamilyen jól ismert fórummotor, ahol működik a fájlmegosztós link, amit kínálnak, akkor miért engedélyezné bárki is a scripteket bárhol?
És sokszor nem az adott domainen van még warezoldalak esetében.
"Mondjuk ez tényleg azon is múlik, ki mennyi új oldalt látogat meg általában."
Meg főleg, hogy milyen új oldalakat. Engem például addig baromira nem érdekel, hogy a menü nem kattintható, amíg csak azért kattintottam rá az adott oldalra, hogy a cikkben lévő leírást megnézzem.
"Amúgy meg a chrome fasza párhuzamosítottsága miatt csak az adott oldal halt be. Esetleg kipróbálhatod FF alatt is ott milyen tuti"
Opera alatt próbáld ki inkább. A párhuzamosítás egyébként olyan fasza, hogy 50-60+ tabnál átláthatatlan az egész és 4 giga memória is kevés lenne neki.
"De megint csak hülye példa, mert nem tudom észrevetted-e, de a lap designja attól függ, h milyen böngészőben nézed. Így kicsit hülye az összehasonlítás."
Nem, nem attól függ. Chrome-ban nem jelenik meg valami miatt a font face, Operában pedig azért nincs radius néhány dobozon, mert csak -moz- és -webkit-es változatok vannak.
"Az összeomlást meg arra írtam, h egy befeküdt lap nem fekteti be az egész böngészőt."
Ez elméletben így is van, csak sajnos többnyire teljes összeomlásokat "Whoa!" tapasztaltam Chrome-ban, nem pedig az 1-1 lapos összeomlásokat.
Emellett: Összeomlik mondjuk 20 lap, mert mind adott domainen van, így csoportosítja). Melyik a gyorsabb? Ctrl+Tabbal végiglépkedni és F5-öt nyomni? Akkor már egyszerűbb a teljes újraindítás.
"Rengeteg nagyon hasznos dolog pedig csak javascriptben oldható meg (vagy esetleg flashben, de a téma szempontjából nem tekinteném ezt alternatívának)."
Igen. De a nagyon hasznos dolog és a feltétlenül szükséges az oldal működéséhez (beleértve a szövegek elolvasását) nem ugyanaz.
Itt a PH-n is lehetne bőven adni akár tüzes effekteket is a szövegeknek meg gradienst használni meg transform effekttel eltolni a szöveget, de az a jó benne, hogy az oldal tartalma attól látható lenne mindenki számára.
-
Penge_4
veterán
válasz
julius666
#81
üzenetére
"váltani lehet értelmesebb böngészőre is.
De neeem, azt nem."Jelenleg a Firefox és az Opera ami böngésző, a többi vagy fos vagy renderelőmotor-only.
"de az operával kb pariban vannak."
Miért? 40-50 tabot tartasz nyitva átlagban?
"És írtam, a web workers egy HTML5-ös fícsör, nem az opera találmánya. A chromeba is belekerül előbb vagy utóbb."
Előbb benne volt, mint az Operában. Különben nem is menne a demó.
"Aha, megnézném hogyan csinálsz webalkalmazásokat javascript nélkül. Flashben?"
Gmail-en, Docs-ban és hasonló webalkalmazásokban hol látsz úszkáló twitter madarat és hasonlókat? Sehol. Leginkább HTML alapú oldalakon látsz ilyesmit.
-
Penge_4
veterán
válasz
julius666
#92
üzenetére
1: CSS tiltásról senki nem beszélt. Azt én említettem meg, hogy bizonyos esetekben, összegányolt oldalakon még ez a lehetőség is szóba jöhet, ha a tartalmat el akarom érni.
2: A net mai állapotát tekintve irreleváns mit mire, milyen célból készítenek, úgyis a konzumidióták fogják eldönteni, hogy mire "kell" használni.
Ha a főnök tüzes effektet szeretne, akkor tüzes effekt lesz. Ha a főnök azt szeretné, hogy user agent alapján szűrje az oldala a böngészőket, akkor az lesz. Ha a főnök Flash menüt szeretne, akkor az lesz. Ezt még fejeld meg egy rakás sík hülye webfejlesztővel, a hatás megfizethetetlen.
-
Penge_4
veterán
válasz
julius666
#83
üzenetére
"Ha már így böngésző-nemböngésző szinten akarjuk sarkítani a dolgokat, akkor én pont azt nem tartom böngészőnek, ami 3rd party kiegek nélkül beenged minden szemetet."
Többek között ezért használok Operát FF helyett. A block-external nem NoScript, és mint mondtam egyéni preferencia, nem azért, mert félnék.
"a 4.0-ás FF után már nagy GUI-beli különbségek sem lesznek, szóval az sem lehet indok a váltásra. A "hasznosabb" kiegek nagy többsége meg ugye alapból ott van az operában."
Igen, ez így van. Nekem és még rajtam kívül sok embernek. Az átlaguserek igényeit meg leginkább minden böngésző kielégíti, attól függ, ki mit szokott meg. A power userekkel szokott probléma lenni, akik habár rugalmasabbak, de sok dolog köti őket 1-1 szoftverhez.
Hogy csak itt a PH-n maradjak, például Winner_hun kb. 70-80 addont használ Firefoxhoz. Neki nem biztos, hogy alternatíva lenne az Opera.
"Na ez most hogy a fenébe jött ide?"
Egyrészt úgy, amit bigbráner írt, másrészt úgy, hogy ezeken az oldalakon szabadon engedélyezheted a scripteket. Egyszer és onnantól engedélyezve van. Ennyi.
Inkább azt nem értem, hogy keverted ide a webalkalmazásokat, amikor olyan oldalakról beszéltünk, ahol nem indokolt a scriptek használata, mert ha használják is őket, maximum non-funkcionális csilivilire.
Például mivel csúnyább a PH letiltott JavaScripttel? Ezt a cikket mivel olvasom el nehezebben letiltott JavaScripttel? Hsz küldésnél már írtam, hogy vannak problémák, de ha regisztrált tagja vagy az oldalnak, akkor engedélyezed a scripteket, esetleg manuálisan még blokkolod azokat, amire nincs szükséged.
De ha guglizol, akkor nem mindegy, hogy a középsőgombbal megnyitott 15-20 oldal mennyire tekeri a procit, egyáltalán mennyire akasztja meg a böngészőt feleslegesen, amikor csak az adott cikkben/fórumhsz-ben található plain/text szövegre vagy kíváncsi ebben az esetben?
[ Szerkesztve ]
-
Penge_4
veterán
válasz
julius666
#97
üzenetére
"Az ilyen "poweruserek" nemhogy kevesen vannak, statisztikailag gyakorlatilag kimutathatatlanok. Szerencsére."
Ahogy a NoScript felhasználóinak száma, de még az Adblocké is.
"Pedig nem, csak azt is lehet vele (a rosszabbik 2-t értelmes böngészőben jóval kevéssé)."
Kár, hogy az oldalak többsége is így gondolja, nem csak a felhasználók.
A Flash-sel sem lenne semmi probléma, ha megmaradt volna a DejaVu vagy a TeX szintjén."Itt arról van (volt még a topik elején) szó, hogy arra hogy az FF lyukas, nem a noscript megoldás."
Ezt nem is mondta senki, hogy Józskának ez a megoldás. Azt mondtuk, hogy akik igénylik az FF fícsöreit azoknak ez egy megoldás még az UAC, vírusirtó és tűzfal mellett. Valamint azt, hogy éppen a fent említett JavaScript eltorzult felhasználási területe miatt sok esetben nem csak biztonság szempontjából hasznos.
"Természetesen ilyenkor mindig az oldalak készítői lesznek a hibásak."
Be kéne megint linkelnem a Rainbow Divider-es oldalt, hogy megértsd végre mit értek nem odaillő felhasználás alatt?
Az PH és lapcsaládja szar? Vagy a My Opera oldala? Vagy még sorolhatok párat, ahol arra használják a JS-t, amire való.
Tehát akkor hol kell engedélyezni? Google, Live.com, Twitter, Facebook és társai. Ezt egyszer megteszed és onnantól nem kell foglalkoznod vele.
"A vita innen indult."
Igen. De én onnan szálltam be, hogy szerinted a NoScriptet használók majmok és hogy a NoScript egyenértékű a Lynx emulációval.
"pontosan ezért nem értem miért kardoskodsz annyira a FF és a noscript mellett."
Azért, mert ha megismered az összes böngészőt akkor rájössz, hogy mindnek vannak hülyeségei. Kinek több, kinek kevesebb. Aki a biztonságot mindenek elé helyezi és a fícsörökről is lemond érte annak nyilván a FF nem alternatíva. Aki ragaszkodik 1-2 fícsörhöz, amit az Operában nem oldottak meg és userJS sincs rá annak az sem alternatíva. Aki számára nem böngésző az, amiben nincs about:config szintű bütykölési lehetőség annak a Chrome, Safari és az IE nem alternatíva. És így tovább.
Operában nem fogom letiltani a scripteket, mert nincs értelme. A block-external eddig hasznosnak bizonyult a zavaró scriptek ellen. De ha Firefoxot használnék, akkor ott NoScriptet is használnék, egyrészt igen, a biztonság, másrészt pedig eleve szar a script menedzselése, még domain alapú kivétellista sincs.
-
Penge_4
veterán
válasz
julius666
#99
üzenetére
"Igen, én meg te. De xy nem fogja, nála szar lesz az oldal. Ezt mondtam."
És szerinted részben nincs igazuk? Mellesleg minden valamirevaló oldal kiírja, hogy kapcsold be a JavaScriptet, különben problémák lehetnek. De legalább JS nélkül csak kiírja, nem pedig alerteket dobál az arcodba.
"Túlzás, de legalább szemléletes."
És ami a weboldalak többségét jellemzi az nem az?
"Azért van kis különbség aközött hogy "nincs about:config szintű bütykölési lehetőség" meg hogy 3rd party pluginek nélkül simán ellopják a jelszavadat ha használsz egy beépített featuret."
Igen, van. Ahogy az a fránya légkalapács is hamarabb elromlik, mint egy kőbalta.
![;]](//cdn.rios.hu/dl/s/v1.gif)
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
it Néhány nap múlva a biztonsági szakember bemutatójából többet is megtudhatunk, ám az információk szerint nagyon nem ajánlott a böngészőben tárolni a jelszavakat.
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Politika
- exHWSW - Értünk mindenhez IS
- nVidia tulajok OFF topikja
- Milyen billentyűzetet vegyek?
- Autós topik látogatók beszélgetős, offolós topikja
- AMD Ryzen 9 / 7 / 5 7***(X) "Zen 4" (AM5)
- OnePlus 7 - magabiztos folytatás
- Mesterséges Intelligencia topik
- Vodafone mobilszolgáltatások
- További aktív témák...
