- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Nem sokat ér ez a szigorítás, amíg külső forrásból bármikor behúzhatnak tetszőleges kódokat az add-onok... Majd amikor a Mozilla ellenőrzi a külső erőforrást, akkor szép csillámpónis kódokat szolgálnak ki neki, a kiszemelt áldozatok meg kapják az adatokat lenyúló és módosító, vagy böngésző exploitot tartalmazó payloadot.
- A hozzászóláshoz be kell jelentkezni
Igaz, de maga az irány tetszik.
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
Élemeletileg a külső kódokat is elérhetővé kell tenni olvasható formában, de abban igazad van hogy nem lehet állandóan ellenőrizni.. :\
- A hozzászóláshoz be kell jelentkezni
"amíg külső forrásból bármikor behúzhatnak tetszőleges kódokat az add-onok"
De legalább látszik, hogy ezt csinálják.
- A hozzászóláshoz be kell jelentkezni
az eddig is látszott :)
- A hozzászóláshoz be kell jelentkezni
Csak olyan kiegészítők fognak átmenni a rostán, amelyik ha be is húz valamilyen kódot, akkor annak a kódnak is olvashatónak kell lennie, vagy legalább annak a kódját is be kell adni ellenőrzésre, amikor publikálni akarnak egy kiegészítőt.
---
"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"
- A hozzászóláshoz be kell jelentkezni
Es hogy fogjak biztositani, hogy a kulso forras ne valtozzon? Minden alkalommal valaki kezzel review-zni fogja?
- A hozzászóláshoz be kell jelentkezni
Teljesen elméleti alapon, ha lenne olyan távoli resource letöltő API, ami hasht is ellenőriz, és ez a hash az eredeti forrásba be van drótozva, akkor nem fog változni. De eleve nem értem, hogy egy addon minek töltöget le bármit...
- A hozzászóláshoz be kell jelentkezni
Akarmilyen addon, ami valami globalis (fekete)listat kezel. Pl. reklamokat tilt, ismert spammer/malware oldalakat listaz (vagy siman oldalon belul adott div-eket), stb.
Szerintem van ilyenbol egy par. Es ha mar ilyet kezel a legegyszerubb, ha van egy fix kodja (ez az extension), es abba a listat egy masik js file-kent tolti be.
--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
A fentiek alapján arra gondoltam, hogy ezek az addonok kódot töltenek le. Ha adatot töltenek le, és az nem fut kódként (ami az eredeti forrásból látszik is), akkor meg fölösleges azon agyalni, hogy van-e review azokra a fájlokra. Töltse le JSON vagy mittudomén milyen formában a cuccait, és akkor nincs security issue. Ha külső JS-t tölt le és futtat, az gáz.
- A hozzászóláshoz be kell jelentkezni
Nemtom a mai frameworkok mit tudnak (utoljara ugy 15 eve foglalkoztam FF extensionnel, es kb. akkor csinaltam komolyabban webes dolgokat), de a JSONt (ami ilyen esetben praktikus) siman betoltheted js file-kent. Ha az extensiont es a server oldali listat is te irod, akar plusz ellenorzes nelkuli https-en is johet, aztan ha egyszer nem JSON lesz benne, akkor igy jart a user..
(persze JSON exec-kel betoltese mar akkor is ellenjavallt volt, de mukodott, es ugye eleg sok extension van)
--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin
- A hozzászóláshoz be kell jelentkezni
Minified kód is eléggé olvashatatlan.
- A hozzászóláshoz be kell jelentkezni
Nincs azzal baj, ha ópenszósz.
- A hozzászóláshoz be kell jelentkezni
Nem kell opensource-nak lenni, amikor felraksz egy új verziót akkor zipben elküldöd a forrást, fordítási instrukciókkal együtt.
- A hozzászóláshoz be kell jelentkezni
"Kuss, en igy szoktam kodolni!"
- A hozzászóláshoz be kell jelentkezni
:D
--
"Sose a gép a hülye."
- A hozzászóláshoz be kell jelentkezni
banra fogja tenni = le fogja tiltani
add-on kiegészítők = kiegészítő kiegészítők
obfuscated = zavaros
--
ulysses.co.hu
- A hozzászóláshoz be kell jelentkezni
kód = rejtjel
- A hozzászóláshoz be kell jelentkezni
obfuscated = zavaros
Szerintem ennek fussál neki még egyszer
- A hozzászóláshoz be kell jelentkezni
obfuscated = keszekusza
Így tényleg magyarosabb! :-)
- A hozzászóláshoz be kell jelentkezni
Magyarnak magyar, csak nem azt jelenti, amire a költő gondolt. :D
- A hozzászóláshoz be kell jelentkezni
Keszekuszásított?
- A hozzászóláshoz be kell jelentkezni
Hogy kell mondani egy szóval, hogy fedezési céllal történt bonyolítás? =-)
- A hozzászóláshoz be kell jelentkezni
Miert kell egy szoval mondani? Az angolnak sincs minden magyar szora egyszavas forditasa :)
- A hozzászóláshoz be kell jelentkezni
CSOK? :)
- A hozzászóláshoz be kell jelentkezni
aztakurva:)
- A hozzászóláshoz be kell jelentkezni
LOL :D
- A hozzászóláshoz be kell jelentkezni
B*szás. :D Már bocsánat, de nem? :)
tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE
- A hozzászóláshoz be kell jelentkezni
Chrome alatt már egy éve bevezeték ezt, de továbbra sem ellenőrzik alaposan. Inkább csak arra jó, hogy ha valami gyanúsan viselkedik, és ránézésre nem tudják elolvasni a kódot, lehessen bannolni.
Kíváncsi vagyok, hogy itt mi a cél.
- A hozzászóláshoz be kell jelentkezni
Chrome alatt
ott mar a chrome kodjaba be vannak epitve a mindenfele josagok - a sajat elojogot meg nyilvan nem adjak csak ugy oda :)
- A hozzászóláshoz be kell jelentkezni
Aminek ugye semmi köze a témához, mert a böngészőre szánt kiegészítőkről van szó, nem a böngészőről.
- A hozzászóláshoz be kell jelentkezni
háát, kövezzetek meg, de aljas módon portable legacy-t használok a downthemall miatt :) ...szóval értem én, hogy fontos a biztonság... de felhasználói oldalon ezt már sz*atásnak érzem :)
- A hozzászóláshoz be kell jelentkezni
downthemall helyett esetleg flashget? nemrég meglepődtem hogy még létezik a program.
- A hozzászóláshoz be kell jelentkezni
Esetleg akkor érdemes ránézned a Waterfox-ra.
- A hozzászóláshoz be kell jelentkezni
Reggelre az összes extensionöm le lett tiltva, azt hittem már hirtelen valami időugrás történt és június 10 lett, de nem :)
https://www.ghacks.net/2019/05/04/your-firefox-extensions-are-all-disab…
- A hozzászóláshoz be kell jelentkezni
detto.
azért bejelentés időpontja és ezen esemény időpontja miatt ez egy szép kis preview :).
Illetve a felhasználoknak egy direkt bejelentés :)
- A hozzászóláshoz be kell jelentkezni
Nem csak neked, mindenkinek. Nem Linux specifikus, windowsos és maces userek is panaszkodnak rá. A pöcsfejűeknek lejárt a tanúsítvány a szerverükön.
Így én meg őket fogom bannolni. Milyen gáz már, hogy távolról működőképtelenné teszik globálisan az összes böngészőt, az összes platformon. Ez egy hatalmas biztonsági rés. Az a baj, hogy nem tudok mire váltani, a Google ugyanezt csinálja a Chrome-mal. A többi böngésző meg Chrome alapú. A nagyon kicsi böngészőkkel meg egy csomó oldal nem működik. Ez így eléggé patthelyzet.
No keyboard detected... Press F1 to run the SETUP
- A hozzászóláshoz be kell jelentkezni
működőképtelenné teszik globálisan az összes böngészőt
A böngésző működik kiegészítők nélkül is. Amúgy meg Midori.
tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE
- A hozzászóláshoz be kell jelentkezni
Ja, működik, de default konfiggal mindegyik nettó használhatatlan, már csak a reklámblokkolás hiányában is. Elkezdtem tesztelni a böngészőket újra, keresek valami alternatívát. A Midorit régebben próbáltam, de nagyon alap böngésző, egy csomó oldal nem jelent meg vele normálisan, meg kiegészítők sem voltak rá. De ki fogok próbálni újra mindenfélét, Slimjet, Pale Moon, Falkon (volt QupZilla), stb..
No keyboard detected... Press F1 to run the SETUP
- A hozzászóláshoz be kell jelentkezni
Iceweasel-UXP? Ez az 52-es bugróka forkja és ebben benne vannak a mozzarella által kidobált - szerintük - nem kellő cuccok (ALSA/GTK2/XUL/NPAPI). Ezzel megy az összes régi bevált kiegészítő. Viszont ki lett hajítva belőle egy raklap ostobaság (pl. telemetria), ami a bugrókában benne van.
- A hozzászóláshoz be kell jelentkezni
Kösz, ki fogom próbálni. Egyelőre a Midorit izzítottam be. Nem tetszik:
1) oldalbetöltés lassú
2) nem lehet csak a fontokat nagyítani a képek nagyítása nélkül
3) egy csomó minden nem állítható rajta
4) addonok bekapcsolása utána két procimagot is 100%-ra beteker
Nekem egyébként nem hiányzik az NPAPI, XUL, ALSA, stb. támogatása. Nekem azzal van bajom, hogy a Mozilla távolról padlóra tudja küldeni a böngészőt ilyen hülyeségekkel. Ha már egyszer feltettem addonokat és témákat, ne találják ki egyszer csak, hogy mivel az aláírása nem stimmel, nem használhatom tovább. Az én gépem, az én rendszerem, én telepítettem rá, nem ők döntenek, hogy mi futhat, mi nem. Majd én gondoskodok a saját biztonságomról.
No keyboard detected... Press F1 to run the SETUP
- A hozzászóláshoz be kell jelentkezni
Majd ha a kód is a tied lesz, majd akkor dönthetsz te.
Amúgy meg csak 1 percre gondolj bele komolyan, mi lenne ha nem lenne opensource.(free software).
Szeretem mindig mikor ki kellnek az ingyen kapott dolgok ért.
Nem muszáj ezt használni, ja, hogy ez a legkényelmesebb és legjobb arra amire neked kell.
És fizetni sem kell érte.
Én csak egyetlen desktop OS-ért fizetnék, mivel most nem muszáj, ha még létezne és az évek alatt megtartotta volna alapjait (nem úgy mint classic MacOS -> OSX) az BeOS. Esetleg OS/2 de azt csak hallomásból ismerem, sose használtam.
- A hozzászóláshoz be kell jelentkezni
> Amúgy meg csak 1 percre gondolj bele komolyan, mi lenne ha nem lenne opensource
Miért, mi lenne? Még sosem ébredtem arra, hogy a Safari önkényesen kidobálta volna maga alól a kiegészítőket.
> Szeretem mindig mikor ki kellnek az ingyen kapott dolgok ért.
Jaja, ami ingyen van, az lehet nyugodtan szar!
- A hozzászóláshoz be kell jelentkezni
Nem, az csak eladja az adataidat! De legalább fizettél is érte az OS-sel. :)
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
Tényleg? Mesélj még róla :)
- A hozzászóláshoz be kell jelentkezni
Hát nem tudtad???!!!444
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
mindegy
- A hozzászóláshoz be kell jelentkezni
+1 a BeOS-ra.
Az összes megszűnt program közül ezt sajnálom a legjobban.
Szerencsére a Haikusok nagyjából kezdik beérni a ~20 évvel ezelőtti BeOS-t. :-D
- A hozzászóláshoz be kell jelentkezni
+1
Eppen nemregen gondolkodtam, hogy kene szerezni egy dedikalt desktopot jatszani vele.
- A hozzászóláshoz be kell jelentkezni
A Midori 6.0 egy raklap trágya. GTK3 infected (erőforrászabáló, lassú render, rossz fontkezelés) és még egyéb bajai is vannak, kerülendő. Kipróbálhatod a 0.5-ös szériát, az legalább gyors, viszont fapadnak ugyanúgy fapad. (Igen, a 0.5 után a 6.0 jött, eléggé beszédes.) Ott van még a Qupzilla. Az egy Qt-re épülő böngésző, nincs ló, jó a szamár szint, de amúgy működik. Az Ottert most inkább nem ajánlom, az még mindig nagyon fejlesztés alatt van...
Pontosan értem, hogy mi a problémád; ezt vagy úgy tudod megkerülni, ha nem magát a bugrókát használod, hanem valamelyik értelmes forkját (Palemoon, Iceweasel), vagy úgy, ha leszeded magát az addont és helyileg telepíted. Vagy, ha a Mozzarella oldalát kitiltod a gépedről, akkor ugyanis nem tud "ellenőrizgetni". De a bugrókában még így is egy csomó olyan dolog van, amitől az embernek feláll a hátán a szőr; pl. felrak neked egy csomó rejtett addont, amit rohadtul nem kértél és nem is tudsz róla, mert nem látszanak, hacsak nem nézed meg a vele összeakadó Iceweaselből, ahol ezek az addonok is láthatóak.
Én nem is használtam magát a rókát sosem, maximum a forkjait és azokat is csak szekunder browsernek, a fő böngészőm a mai napig az Opera 12.
- A hozzászóláshoz be kell jelentkezni
7-es Midori van a gépemen. :)
tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE
- A hozzászóláshoz be kell jelentkezni
Tartok tőle, hogy arra is igaz, amit a hatosra leírtam.
- A hozzászóláshoz be kell jelentkezni
Kösz az összefoglalót, legalább nekem már nem kell végigkínlódni :)
- A hozzászóláshoz be kell jelentkezni
Nincs mit.
- A hozzászóláshoz be kell jelentkezni
Qupzilla szerintem már nincs. Falkon van helyette, és bekerült a KDE projektek közé. Épp most pár perce frissült nálam. Nekem bejött, pár reszelni való van vele csak, persze ha kell vmi speckó addon, az lehet, hogy nincs.
- A hozzászóláshoz be kell jelentkezni
Nem próbáltam. Kellenek hozzá KDE5 komponensek? Mert a QZ-hez még nem kellettek.
- A hozzászóláshoz be kell jelentkezni
+1000000
Opera 12 for president!
- A hozzászóláshoz be kell jelentkezni
Ja. Csak azt bánom, hogy windowson kívül másra nem adták ki a 12.18-at, amiben implementálták az új ECC ciphereket, mert 12.16-ban egy csomó oldal már elhajít. Viszont sajnos csak a 12.15 kódja szivárgott ki, de majd lehet backportolják ezt is bele.
- A hozzászóláshoz be kell jelentkezni
Komolyan elgondolkodtam azon, hogy csináljak egy MITM local proxyt, ami átcsomagolja az ECDHE-s kapcsolatokat DHE-vel, hogy a 12.16-tal is menjenek... :D
- A hozzászóláshoz be kell jelentkezni
Ja, én is jóideje szemezek már a Squiddel. Előbb utóbb viszont muszáj lesz.
- A hozzászóláshoz be kell jelentkezni
Működni működik, de:
- kémkedik a google analytics 10 oldalból 8nál
- nem töltődnek be a jelszavaim a keepass db-ből
- egyes oldalakon kriptivalutákat bányásznak poénból
- tele van idegesítő/lassító reklámokkal a web
--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene
- A hozzászóláshoz be kell jelentkezni
+1
Szebben én sem tudtam volna összefoglalni.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Chrome-ra van megbizhato vertical tab bar?
- A hozzászóláshoz be kell jelentkezni
Nyilván mindenki hibázhat, csak ők nem. „Pöcsfejűek”, gratulálok a stílusodhoz.
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
>> mindenkinek.
nem
- A hozzászóláshoz be kell jelentkezni
Amúgy nálam sem jelentkezett a probléma:
firefox-66.0.3-2.fc30.x86_64
* Thu May 02 2019 Martin Stransky <****@redhat.com> - 66.0.3-2
- Removed fix for mozbz#526293 as it's broken and does not
bring any new functionality.
Ki tudja, talán épp ezt javították? Kérdés, mit értenek új funkcionalitáson.
tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE
- A hozzászóláshoz be kell jelentkezni
Ideiglenes workaround a következő Reddit szálban található, amíg a Mozillánál sikerül megoldani a problémát:
https://www.reddit.com/r/firefox/comments/bkcjoa/all_of_my_addons_got_d…
- A hozzászóláshoz be kell jelentkezni
Köszi. Én a debug felületen visszatöltöttem az addonjaimat. Azért ez elég kemény szopatás volt, 4ből 4 offra került csak úgy:
- adblock plus
- google analytics blocker
- keepassxc
- no coin
--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene
- A hozzászóláshoz be kell jelentkezni
Volt par olyan kollegam, akinek szerintem meg a nemminify-olt nemobfuszkalt kodjat is elhajtitottak volna erre a szabalyra hivatkozva.
- A hozzászóláshoz be kell jelentkezni
Ehelyett banra tette mindet. Taps.
<3 openSUSE, Ubuntu, KDE <3
- A hozzászóláshoz be kell jelentkezni
Nálam a többséget letiltotta. Például ezeket is: uBlock Origin, uMatrix
Pont azután hogy engedtem a 66.0.3-ra való frissítést. Először downgrade volt, de az is szórakozott velem. Berágtam és áttértem a Waterfox-ra. Azóta minden rendben.
- A hozzászóláshoz be kell jelentkezni
66.0.4-ben javítva van. Fedorához van készen már a build szerveren, Windows-hoz is kijött már.
tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE
- A hozzászóláshoz be kell jelentkezni