My OperaYou need to be logged in to post in the forums. If you do not have an account, please sign up first.
Разрешить виджетам контактировать с браузером.
Ввести это на уровне API то есть в конфиг файле задавать <widget file="yes" network="public" windows="yes">как это уже делается с File I/O API, и выводить стандартное предупреждение как при работе с файлами, где будет указано что виджет может контактировать с содержимым окон.
Это бы позволило создавать более разнообразные виджеты, в которых вы бы могли бы сразу заготавливать тексты, управлять содержимым, делать блокировщики рекламы и многое другое.
Будет ли вам это полезно?
| Option | Results | Votes | |
|---|---|---|---|
| Без комментариев. |  |
21% | 4 |
| Нет. | |
11% | 2 |
| Да. | |
68% | 13 |
| Total number of votes: | 19 | ||
Замысел таков, что виджет как бы ментально не связан с браузером.
Это отдельное недоприложение
Это отдельное недоприложение
✩ Новая Opera! Загрузите новый быстрый браузер. Для PC, Mac, и Linux ✩
я пока не очень понимаю: зачем виджетам иметь доступ к окнам браузера?
P.S. и вообще-то это огромная дыра в безопасности.
P.S. и вообще-то это огромная дыра в безопасности.
Win7 x64, Opera 12.16
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
виджеты могут быть выложены на стороннем сайте, где подобной модерации нет.
P.S. это было в P.S., мне действительно интересно: нафига виджету лезть к моим открытым окнам? вот хоть один жизненный пример, плиз.
P.S. это было в P.S., мне действительно интересно: нафига виджету лезть к моим открытым окнам? вот хоть один жизненный пример, плиз.
Win7 x64, Opera 12.16
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
Originally posted by Fifonik:
мне действительно интересно: нафига виджету лезть к моим открытым окнам? вот хоть один жизненный пример, плиз.
вот
Originally posted by WebSinner:
делать блокировщики рекламы и многое другое.
что-то это я пропустил.
OK, я -- за. только в данном случае обязательно должно быть подтверждение от пользователя.
OK, я -- за. только в данном случае обязательно должно быть подтверждение от пользователя.
Win7 x64, Opera 12.16
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
Пусть при установке будет стандартное предупреждение согласно манифесту.
✩ Новая Opera! Загрузите новый быстрый браузер. Для PC, Mac, и Linux ✩
не, стандартные предупреждения никто не читает.
в данном случае очень велика вероятность фишинга, поэтому confirmation-ы должны быть при попытке доступа к странице с указанием информации о том, какой виджет попытался обратиться к левой странице и к какой именно странице он попытался обратиться.
в данном случае очень велика вероятность фишинга, поэтому confirmation-ы должны быть при попытке доступа к странице с указанием информации о том, какой виджет попытался обратиться к левой странице и к какой именно странице он попытался обратиться.
Win7 x64, Opera 12.16
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
Нормальный конфирмейшн:
Разрешить этому виджету доступ к открытым вкладкам (файловой системе, паролям, кэшу, интернету, вашему счету в банке)
1. Да, всегда, я этому виджету полностью доверяю.
2. Спрашивать меня каждый раз, при попытке доступа.
3. Взять стандартные настройки из моего общего конфига
Разрешить этому виджету доступ к открытым вкладкам (файловой системе, паролям, кэшу, интернету, вашему счету в банке)
1. Да, всегда, я этому виджету полностью доверяю.
2. Спрашивать меня каждый раз, при попытке доступа.
3. Взять стандартные настройки из моего общего конфига
Originally posted by Fifonik:
я пока не очень понимаю: зачем виджетам иметь доступ к окнам браузера?
P.S. и вообще-то это огромная дыра в безопасности.
Originally posted by Fifonik:
виджеты могут быть выложены на стороннем сайте, где подобной модерации нет.
P.S. это было в P.S., мне действительно интересно: нафига виджету лезть к моим открытым окнам? вот хоть один жизненный пример, плиз.
Почему дыра? Раньше (от отдления) виджеты моли взаимодействовать с браузером. Как минимум могли открывать вкладки и генерировать туда страницу (примеры: Time and Date — при срабатывании будильника; Spirograph — открывал нарисованную картинку для сохранения).
По поводу сторонних сайтов, где нет модерации. Во-первых, приложения Unite сейчас имеют доступ к файлам и папкам, но ничего, все живы. Во-вторых, при скачивании виджетов Unite-приложений из других сайтов появляется соответствующее предупреждение.
открыть новую страницу (т.е. создать child-а и потом трахать ему контент) и добраться до данных другой открытой страницы (интернет-банк), в которой могут быть важные персональные данные -- две огромные разницы.
я не верю что даже на сайте оперы все виджеты досконально проверяются.
да живы. наверное потому, что этими виджетами толком никто не пользуется и поэтому их пока особо не пытаются хачить
P.S. я не знаю как было раньше, т.к. вами виджеты лишь смотрел, ничем ни разу не пользовался. но если подобное будет реализовано (в чем я сомневаюсь), то никогда и не буду пользоваться из-за соображений безопасности.
я не верю что даже на сайте оперы все виджеты досконально проверяются.
да живы. наверное потому, что этими виджетами толком никто не пользуется и поэтому их пока особо не пытаются хачить
P.S. я не знаю как было раньше, т.к. вами виджеты лишь смотрел, ничем ни разу не пользовался. но если подобное будет реализовано (в чем я сомневаюсь), то никогда и не буду пользоваться из-за соображений безопасности.
Win7 x64, Opera 12.16
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
Вообще такие вещи легко пресекаются, и к тому же скрипты могут открывать фрейм внутри фрейма и генерировать содержимое но напомню что кроме этого более ничего не могут , куки к примеру можно вызвать только с родительной страницы, куки страницы фрейма вы не вызовите.
Originally posted by WebSinner:
eval() в скрипте на сервере тоже и что?
Просто многие умеют эту самую дырку делать недоступной, сами подуймайте, браузер записывает кеш на ваш пк, черьть это тоже путь к дырке!!! Алярм!
eval -- не дырка, т.к. через eval код с одной закладки не может получить доступа к содержимому другой закладки.
кеш -- тоже не не дырка по тем-же самым причинам.
Win7 x64, Opera 12.16
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
а я вижу кучу потенциальных мест для дыр например виджета-блокировщика рекламы (ведь ему нужен доступ к другим окнам)
- да, он запросит подтверждения, но т.к. человек скачивал виджет, который должен иметь доступ -- это разрешение будет получено;
- код виджетов не проходит проверку (и никогда не будет её проходить), т.е. потенциально этот виджет может отправлять данные налево;
- виджеты могут устанавливаться с совсем левых сайтов, где ситуация может быть ещё более острой.
да, можно например при отправке данных наружу для всех виджетов, которым разрешили лазить к другим окнам запрашивать подтверждение у пользователя при каждой отправке. но что там показывать? текст исходящего запроса? его никто не поймут. буквы, который пишет виджет? он безусловно напишет, что он лезет за обновлениями.
в общем я не вижу адекватной модели, когда эти дырки можно нормально заткнуть (а ещё вспоминаем про ошибки в программе и дыра начинает выглядеть просто огромной и страшной).
- да, он запросит подтверждения, но т.к. человек скачивал виджет, который должен иметь доступ -- это разрешение будет получено;
- код виджетов не проходит проверку (и никогда не будет её проходить), т.е. потенциально этот виджет может отправлять данные налево;
- виджеты могут устанавливаться с совсем левых сайтов, где ситуация может быть ещё более острой.
да, можно например при отправке данных наружу для всех виджетов, которым разрешили лазить к другим окнам запрашивать подтверждение у пользователя при каждой отправке. но что там показывать? текст исходящего запроса? его никто не поймут. буквы, который пишет виджет? он безусловно напишет, что он лезет за обновлениями.
в общем я не вижу адекватной модели, когда эти дырки можно нормально заткнуть (а ещё вспоминаем про ошибки в программе и дыра начинает выглядеть просто огромной и страшной).
Win7 x64, Opera 12.16
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
Originally posted by Fifonik:
- код виджетов не проходит проверку (и никогда не будет её проходить), т.е. потенциально этот виджет может отправлять данные налево;
- виджеты могут устанавливаться с совсем левых сайтов, где ситуация может быть ещё более острой.
О, вы просто никогда не общались с UserJS и Расширениями для других браузоров, для этого и существует проверка и официальные репозитории, для того что бы не пустить виджет которые может у себя запустить Eval присланный за груженый с другого сайта, из за этого я не могу загружать виджет с автобновлением хотя у меня есть система.
К тому же все эти расширения имеют открытый код.
Originally posted by WebSinner:
для этого и существует проверка и официальные репозитории
Для этого у OS нет средств.
Originally posted by WebSinner:
К тому же все эти расширения имеют открытый код.
Большинство его всёравно не поймут.
Дыбра — это животное в дебрях тундры, вроде бобра и выдры, враг кобры и пудры, бодро тибрит ядра кедра в ведрах и дробит добро в недрах.
Будет ли когда-нибудь у меня всё работать ?
Будет ли когда-нибудь у меня всё работать ?
Originally posted by Solarpower:
Большинство его всёравно не поймут
Понимать и утверждать его должно специально обученное меньшинство.
✩ Новая Opera! Загрузите новый быстрый браузер. Для PC, Mac, и Linux ✩
Originally posted by webrider:
Понимать и утверждать его должно специально обученное меньшинство.
Тогда, к чему разговоры про открытый код ? =) Код тогда можно только обученному меньшинству предъявить, а для остальных — сделать закрытым. (Ну да, в том виде, какой имеют виджеты сейчас — это не возможно, но, в глобальном смысле, не важно, открытый или закрытый у них код будет.)
Дыбра — это животное в дебрях тундры, вроде бобра и выдры, враг кобры и пудры, бодро тибрит ядра кедра в ведрах и дробит добро в недрах.
Будет ли когда-нибудь у меня всё работать ?
Будет ли когда-нибудь у меня всё работать ?
Originally posted by WebSinner:
О, вы просто никогда не общались с UserJS и Расширениями для других браузоров
вы правы. я адаптировал для себя и использую один единственный малюсенький UserJS. я не пользуюсь постоянно другими браузерами (ну... только для тестирования) и у меня не установлено в Fx ни одного расширения.
я никогда не установлю себе какой-нить большой UserJS (т.к. разбираться с его кодом долго и мне лень, а доверяю я только себе, да и то не всегда).
никакими организационными мерами решить технические проблемы невозможно.
никто никогда не будет досконально изучать js код всех написанных виджетов (даже если захочет).
при том, что я знаю кто такой Lex1 и что у него можно найти кучу всевозможных UserJS я никогда не стану устанавливать что-либо, что собрано у него.
первый же появившийся и массово использованный эксплойт любой подобной дырки подорвёт веру в реализацию виждетов в опере. на фига оно это надо разработчикам браузера?
P.S. "если у вас нет паранойи -- это ещё не значит, что за вами не следят". у меня есть небольшой, малопопулярный fun-website. и тем не менее, судя по логам, его постоянно пытаются ломать (безуспешно). нет, это не супер-крутые хакеры, а недоумки, которые скачали где-то очередную "типовую ломалку". я не хочу, чтобы подобными "стандартными" тулзами мог что-либо воспользоваться и нагадить мне через браузер.
Win7 x64, Opera 12.16
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
24. June 2010, 22:42:00 (edited)
Виджеты... "Если это розы - то они расцветут". (Перевод, а не как тут принято - в оригинале...).
Да - единственный виджет который я установил не из доверенных - сискоглядка от WebSinner. И тому есть причины: WebSinner" мы знаем - имя - это капитал, это дружеское доверие, это риск без которого жить не интересно, это судьба (т.е. отсутствие выбора фактически). А вообще-то я код виджета просмотрел и сайт тех рыцарей-бооблов уже знал и не боялся. Вывод, т.е итог:
кто ставит виджеты, расширения , скрипты и т.п иже с ними тот и виноват - принимает на себя всю ответственность за типа "утраченную или не приобретённую выгоду".
Что вы всё радеете за безопасность? Вы понимаете, что существует категория людей для которых это не аргумент, пустой звук? Бесплатный продукт изначально снимает ответственность с источника и перекладывает его на скачавших/установивших (читайте лиц.согл.). Вирусы (трояны, руткиты и т.п. как бы их ласкательно не обзывали) лезут через дороги вымощенные благими намерениями! Т.е., лезут вирусы как раз в тех продуктах, создатели которых кричат об абсолютной защищённости!
Опасно предложение WebSinner? Очень! Но его не примут по причине недостаточности причин для внедрения, и в частности - недостаточности человекоресурсов... Вот что печально...
Да - единственный виджет который я установил не из доверенных - сискоглядка от WebSinner. И тому есть причины: WebSinner" мы знаем - имя - это капитал, это дружеское доверие, это риск без которого жить не интересно, это судьба (т.е. отсутствие выбора фактически). А вообще-то я код виджета просмотрел и сайт тех рыцарей-бооблов уже знал и не боялся. Вывод, т.е итог:
кто ставит виджеты, расширения , скрипты и т.п иже с ними тот и виноват - принимает на себя всю ответственность за типа "утраченную или не приобретённую выгоду".
Что вы всё радеете за безопасность? Вы понимаете, что существует категория людей для которых это не аргумент, пустой звук? Бесплатный продукт изначально снимает ответственность с источника и перекладывает его на скачавших/установивших (читайте лиц.согл.). Вирусы (трояны, руткиты и т.п. как бы их ласкательно не обзывали) лезут через дороги вымощенные благими намерениями! Т.е., лезут вирусы как раз в тех продуктах, создатели которых кричат об абсолютной защищённости!
Опасно предложение WebSinner? Очень! Но его не примут по причине недостаточности причин для внедрения, и в частности - недостаточности человекоресурсов... Вот что печально...
Моя сторінка на MyOpera • Я • F Ukraine - тримаємо порох сухим!
↑ На букву Я целить мышкин указатель! ↑
Использую Opera 10.10 build 1893 - новыми лишь поиграться можно
RIP
Opera
30.08.1995 - 13.02.2013
-> Link <-
☺ Я ВКонтакт лишь по нужде хожу! ☺
У меня всё работает! Догадайтесь - через что!
► Дом - 30 Мбит\с, работа - EDGE - до ~100 Кбит\с ◄
Что делать, если опера зависает и сбоит
∎
↑ На букву Я целить мышкин указатель! ↑
Использую Opera 10.10 build 1893 - новыми лишь поиграться можно
RIP
Opera
30.08.1995 - 13.02.2013
-> Link <-
☺ Я ВКонтакт лишь по нужде хожу! ☺
У меня всё работает! Догадайтесь - через что!
► Дом - 30 Мбит\с, работа - EDGE - до ~100 Кбит\с ◄
Что делать, если опера зависает и сбоит
∎
Originally posted by SATAB:
т.е итог: кто ставит виджеты, расширения , скрипты и т.п иже с ними тот и виноват - принимает на себя всю ответственность за типа "утраченную или не приобретённую выгоду".
это неверная точка зрения.
если ей следовать, то винда в плане безопасности -- замечательная штука, а проблемы из-за того, что кто-то устанавливает какие-то программы (вот ведь удумали чего!).
я не беспокоюсь о людях, для которых безопасность -- не аргумент. они всё равно найдут как угробить свою систему.
я беспокоюсь на счёт того, что в "операционной системе для выполнения оперных виджетов" кто-то внедрит потенциально опасные вещи.
Win7 x64, Opera 12.16
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
Золотые правила, найденные когда-то в инете:
1. Молчи, за умного сойдешь.
2. Если нечего сказать, лучше не говори.
3. Если нельзя, но очень хочется, то все равно нельзя.
Originally posted by WebSinner:
Это для опытных которые с всяких яндексов виджеты скачивают и нажимают, да я доверяю этому узлу.
Тогда к чему разговоры о проверке, утверждениях и официальных репозиториях, если виджеты будут качать с левых сайтов ?
Дыбра — это животное в дебрях тундры, вроде бобра и выдры, враг кобры и пудры, бодро тибрит ядра кедра в ведрах и дробит добро в недрах.
Будет ли когда-нибудь у меня всё работать ?
Будет ли когда-нибудь у меня всё работать ?
Originally posted by Fifonik:
это неверная точка зрения.
если ей следовать, то винда в плане безопасности -- замечательная штука, а проблемы из-за того, что кто-то устанавливает какие-то программы (вот ведь удумали чего!).
Простите, но так вообще то и есть, вспомним случай где для неопытных пользователей предлагали обновить прошивки и драйвера на мак ось в итоге, все эти люди были подвержаны заражению троянами. Если следовать вашим доводам, то установка Opera тоже через чур опасна, она требует админских прав и записи информации на диск, но увы даже через sudo вы не можете сразу посмотреть какие она файлы будет править, а так же врят ли что то из этого поймете. Это как говорится тот шаг на который вы сами пошли.
Originally posted by Solarpower:
Тогда к чему разговоры о проверке, утверждениях и официальных репозиториях, если виджеты будут качать с левых сайтов ?
Основную проблему составляют явные XSS и перезапись родных файлов, проверка нужна именно для этого, сверить информацию предлагаемую параметрами безопасности и посмотреть как она будет применяться, такие телодвижения не шибко сложны и они выполняются повсеместно.
Originally posted by Fifonik:
я беспокоюсь на счёт того, что в "операционной системе для выполнения оперных виджетов" кто-то внедрит потенциально опасные вещи.
Не беспокойтесь, браузер это более потенциально опасная вещь, а виджеты давно уже не используют фаст демо (хотя я бы просто убил бы функционал но использовал бы его), дырки в опере лотают чуть ли не каждый месяц, это старая практика и их куда больше чем в платформе где вы сами решаете что вам ставить.
Хотите избежать проблем, ставьте программы с доверенных узлов, вы же не качаете Opera с sexxxxruorgbuchcrash.org.com.ru?
Originally posted by WebSinner:
Основную проблему составляют явные XSS и перезапись родных файлов, проверка нужна именно для этого, сверить информацию предлагаемую параметрами безопасности и посмотреть как она будет применяться, такие телодвижения не шибко сложны и они выполняются повсеместно.
Какая разница что и как проверяют ?
Или есть общее место, с проверкой, откуда все качают (проверка самому тут как бы ни к чему, доверяем проверяющим) или качаем откуда заблагорассудится — тогда уж нужно самому всё знать, для того, что бы самому проверить. А одновременно то зачем ? Для совсем уж параноиков ? Проще им тогда "провод обрезать".
Дыбра — это животное в дебрях тундры, вроде бобра и выдры, враг кобры и пудры, бодро тибрит ядра кедра в ведрах и дробит добро в недрах.
Будет ли когда-нибудь у меня всё работать ?
Будет ли когда-нибудь у меня всё работать ?
Forums » Объявления и обсуждения » Предложения по браузерам Opera (wishlist)