A Mozilla banra fogja tenni azokat az add-on kiegészítőket, amik obfuscated kódot tartalmaznak

Címkék

Add-on Policies (Effective June 10th, 2019) [...] Add-ons are not allowed to contain obfuscated code, nor code that hides the purpose of the functionality involved. If external resources are used in combination with add-on code, the functionality of the code must not be obscured. To the contrary, minification of code with the intent to reduce file size is permitted.

Részletek itt.

Hozzászólások

Nem sokat ér ez a szigorítás, amíg külső forrásból bármikor behúzhatnak tetszőleges kódokat az add-onok... Majd amikor a Mozilla ellenőrzi a külső erőforrást, akkor szép csillámpónis kódokat szolgálnak ki neki, a kiszemelt áldozatok meg kapják az adatokat lenyúló és módosító, vagy böngésző exploitot tartalmazó payloadot.

Csak olyan kiegészítők fognak átmenni a rostán, amelyik ha be is húz valamilyen kódot, akkor annak a kódnak is olvashatónak kell lennie, vagy legalább annak a kódját is be kell adni ellenőrzésre, amikor publikálni akarnak egy kiegészítőt.

---
"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"

Akarmilyen addon, ami valami globalis (fekete)listat kezel. Pl. reklamokat tilt, ismert spammer/malware oldalakat listaz (vagy siman oldalon belul adott div-eket), stb.
Szerintem van ilyenbol egy par. Es ha mar ilyet kezel a legegyszerubb, ha van egy fix kodja (ez az extension), es abba a listat egy masik js file-kent tolti be.

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

A fentiek alapján arra gondoltam, hogy ezek az addonok kódot töltenek le. Ha adatot töltenek le, és az nem fut kódként (ami az eredeti forrásból látszik is), akkor meg fölösleges azon agyalni, hogy van-e review azokra a fájlokra. Töltse le JSON vagy mittudomén milyen formában a cuccait, és akkor nincs security issue. Ha külső JS-t tölt le és futtat, az gáz.

Nemtom a mai frameworkok mit tudnak (utoljara ugy 15 eve foglalkoztam FF extensionnel, es kb. akkor csinaltam komolyabban webes dolgokat), de a JSONt (ami ilyen esetben praktikus) siman betoltheted js file-kent. Ha az extensiont es a server oldali listat is te irod, akar plusz ellenorzes nelkuli https-en is johet, aztan ha egyszer nem JSON lesz benne, akkor igy jart a user..
(persze JSON exec-kel betoltese mar akkor is ellenjavallt volt, de mukodott, es ugye eleg sok extension van)

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

Minified kód is eléggé olvashatatlan.

"Kuss, en igy szoktam kodolni!"

banra fogja tenni = le fogja tiltani
add-on kiegészítők = kiegészítő kiegészítők
obfuscated = zavaros
--
ulysses.co.hu

Chrome alatt már egy éve bevezeték ezt, de továbbra sem ellenőrzik alaposan. Inkább csak arra jó, hogy ha valami gyanúsan viselkedik, és ránézésre nem tudják elolvasni a kódot, lehessen bannolni.
Kíváncsi vagyok, hogy itt mi a cél.

háát, kövezzetek meg, de aljas módon portable legacy-t használok a downthemall miatt :) ...szóval értem én, hogy fontos a biztonság... de felhasználói oldalon ezt már sz*atásnak érzem :)

Nem csak neked, mindenkinek. Nem Linux specifikus, windowsos és maces userek is panaszkodnak rá. A pöcsfejűeknek lejárt a tanúsítvány a szerverükön.

Így én meg őket fogom bannolni. Milyen gáz már, hogy távolról működőképtelenné teszik globálisan az összes böngészőt, az összes platformon. Ez egy hatalmas biztonsági rés. Az a baj, hogy nem tudok mire váltani, a Google ugyanezt csinálja a Chrome-mal. A többi böngésző meg Chrome alapú. A nagyon kicsi böngészőkkel meg egy csomó oldal nem működik. Ez így eléggé patthelyzet.

No keyboard detected... Press F1 to run the SETUP

Ja, működik, de default konfiggal mindegyik nettó használhatatlan, már csak a reklámblokkolás hiányában is. Elkezdtem tesztelni a böngészőket újra, keresek valami alternatívát. A Midorit régebben próbáltam, de nagyon alap böngésző, egy csomó oldal nem jelent meg vele normálisan, meg kiegészítők sem voltak rá. De ki fogok próbálni újra mindenfélét, Slimjet, Pale Moon, Falkon (volt QupZilla), stb..

No keyboard detected... Press F1 to run the SETUP

Iceweasel-UXP? Ez az 52-es bugróka forkja és ebben benne vannak a mozzarella által kidobált - szerintük - nem kellő cuccok (ALSA/GTK2/XUL/NPAPI). Ezzel megy az összes régi bevált kiegészítő. Viszont ki lett hajítva belőle egy raklap ostobaság (pl. telemetria), ami a bugrókában benne van.

Kösz, ki fogom próbálni. Egyelőre a Midorit izzítottam be. Nem tetszik:
1) oldalbetöltés lassú
2) nem lehet csak a fontokat nagyítani a képek nagyítása nélkül
3) egy csomó minden nem állítható rajta
4) addonok bekapcsolása utána két procimagot is 100%-ra beteker

Nekem egyébként nem hiányzik az NPAPI, XUL, ALSA, stb. támogatása. Nekem azzal van bajom, hogy a Mozilla távolról padlóra tudja küldeni a böngészőt ilyen hülyeségekkel. Ha már egyszer feltettem addonokat és témákat, ne találják ki egyszer csak, hogy mivel az aláírása nem stimmel, nem használhatom tovább. Az én gépem, az én rendszerem, én telepítettem rá, nem ők döntenek, hogy mi futhat, mi nem. Majd én gondoskodok a saját biztonságomról.

No keyboard detected... Press F1 to run the SETUP

Majd ha a kód is a tied lesz, majd akkor dönthetsz te.
Amúgy meg csak 1 percre gondolj bele komolyan, mi lenne ha nem lenne opensource.(free software).
Szeretem mindig mikor ki kellnek az ingyen kapott dolgok ért.
Nem muszáj ezt használni, ja, hogy ez a legkényelmesebb és legjobb arra amire neked kell.
És fizetni sem kell érte.
Én csak egyetlen desktop OS-ért fizetnék, mivel most nem muszáj, ha még létezne és az évek alatt megtartotta volna alapjait (nem úgy mint classic MacOS -> OSX) az BeOS. Esetleg OS/2 de azt csak hallomásból ismerem, sose használtam.

> Amúgy meg csak 1 percre gondolj bele komolyan, mi lenne ha nem lenne opensource

Miért, mi lenne? Még sosem ébredtem arra, hogy a Safari önkényesen kidobálta volna maga alól a kiegészítőket.

> Szeretem mindig mikor ki kellnek az ingyen kapott dolgok ért.

Jaja, ami ingyen van, az lehet nyugodtan szar!

A Midori 6.0 egy raklap trágya. GTK3 infected (erőforrászabáló, lassú render, rossz fontkezelés) és még egyéb bajai is vannak, kerülendő. Kipróbálhatod a 0.5-ös szériát, az legalább gyors, viszont fapadnak ugyanúgy fapad. (Igen, a 0.5 után a 6.0 jött, eléggé beszédes.) Ott van még a Qupzilla. Az egy Qt-re épülő böngésző, nincs ló, jó a szamár szint, de amúgy működik. Az Ottert most inkább nem ajánlom, az még mindig nagyon fejlesztés alatt van...

Pontosan értem, hogy mi a problémád; ezt vagy úgy tudod megkerülni, ha nem magát a bugrókát használod, hanem valamelyik értelmes forkját (Palemoon, Iceweasel), vagy úgy, ha leszeded magát az addont és helyileg telepíted. Vagy, ha a Mozzarella oldalát kitiltod a gépedről, akkor ugyanis nem tud "ellenőrizgetni". De a bugrókában még így is egy csomó olyan dolog van, amitől az embernek feláll a hátán a szőr; pl. felrak neked egy csomó rejtett addont, amit rohadtul nem kértél és nem is tudsz róla, mert nem látszanak, hacsak nem nézed meg a vele összeakadó Iceweaselből, ahol ezek az addonok is láthatóak.
Én nem is használtam magát a rókát sosem, maximum a forkjait és azokat is csak szekunder browsernek, a fő böngészőm a mai napig az Opera 12.

Működni működik, de:
- kémkedik a google analytics 10 oldalból 8nál
- nem töltődnek be a jelszavaim a keepass db-ből
- egyes oldalakon kriptivalutákat bányásznak poénból
- tele van idegesítő/lassító reklámokkal a web

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

Amúgy nálam sem jelentkezett a probléma:

firefox-66.0.3-2.fc30.x86_64


* Thu May 02 2019 Martin Stransky <****@redhat.com> - 66.0.3-2
- Removed fix for mozbz#526293 as it's broken and does not
bring any new functionality.

Ki tudja, talán épp ezt javították? Kérdés, mit értenek új funkcionalitáson.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Volt par olyan kollegam, akinek szerintem meg a nemminify-olt nemobfuszkalt kodjat is elhajtitottak volna erre a szabalyra hivatkozva.

Ehelyett banra tette mindet. Taps.

<3 openSUSE, Ubuntu, KDE <3

Nálam a többséget letiltotta. Például ezeket is: uBlock Origin, uMatrix
Pont azután hogy engedtem a 66.0.3-ra való frissítést. Először downgrade volt, de az is szórakozott velem. Berágtam és áttértem a Waterfox-ra. Azóta minden rendben.