Перейти к содержанию
p2u

Если тебе кажется, что ничего нет,

Recommended Posts

p2u

Хочу вам показать один прикол.

Сначала скажу, что у меня в качестве защиты в браузере работает NoScript с максимальными настройками.

Далее работает Adblock Plus с необычными настройками. Блокирующий фильтр по умолчанию: * (блокировать всё, кроме текста). По умолчанию разрешаются для ВСЕХ страниц в Интернете только таблицы стилей (stylesheet).

Для доверенных страниц разрешаются только картинки. Например на anti-malware я задал фильтр:

@@http://www.anti-malware.ru/forum/$background,image

Это значит только картинки с главного сайта. Это вполне достаточно для того, чтобы сайт нормально функционировал.

Теперь переходим к загадке: Идём сюда.

В NoScript отображются следующие блокированные элементы:

385359077c72.jpg

В Adblock (который тоже умеет блокировать скрипты) отображается такая картинка: Нет блокируемых элементов на данной странице:

77a9adeb36e0.jpg

Теперь разрешаем все блокируемые элементы в NoScript:

a7fe8b7fba3b.jpg

А что мы видим в Adblock Plus? Там блокируется элемент 'script', который не отображается (значит и не может блокироваться) в NoScript:

31d0e0a7e9cc.jpg

К счастью, меня фильтр * 'спас'...

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

Красиво... Интересно, разрабы NoScript в курсе?..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Красиво... Интересно, разрабы NoScript в курсе?..

Это лишь безобидная шутка со стороны Владимира Паланта, автора Adblock Plus. Giorgio Maone уже давно в курсе, но изменить ничего нельзя. Так работает Firefox. Есть эксплойты по-серьёзнее, которые я не в праве показывать, но можно не волноваться, однако: существует сообщество добрых людей, которые постоянно докладывают о новых находках тому и другому. Это лишь доказывает, что нельзя ни NoScript, ни Adblock Plus признать как полноценные программы защиты; кому не лень обходит их. Это важно честно признать по мере того, как Firefox становится более и более популярным, и добавляет всё больше и больше ненужных фичей... :)

P.S.: И наконец-то появился аргумент для представителей Индустрии Безопасности, которые всегда знали, что так краcиво не бывает, но не смогли доказывать это... ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Lamer_

А как же от этого защититься ??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А как же от этого защититься ??

Встроить функционал NoScript + AdblockPlus в самом браузере.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mikh

В комментарии к соответствующему посту Владимира Паланта Maone пишет, что указанный скрипт NoScript хотя и не показывает, но, тем не менее, блокирует. - http://adblockplus.org/blog/more-extension-puzzles#c001639

Правильно ли я понимаю, что это в таком случае не слишком значительная дыра в безопасности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Данная 'дыра' - безобидная шутка от Владимира Паланта. Он и Giorgio любят дразнить друг друга с такими вещами. НО: в NoScript есть серьёзные дыры. Например, через about:blank можно до сих пор перенаправлять на фишинговую страницу с 'нужной полезной нагрузкой'. NoScript против этого ничего не сделает.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mikh
Данная 'дыра' - безобидная шутка от Владимира Паланта. Он и Giorgio любят дразнить друг друга с такими вещами. НО: в NoScript есть серьёзные дыры. Например, через about:blank можно до сих пор перенаправлять на фишинговую страницу с 'нужной полезной нагрузкой'. NoScript против этого ничего не сделает.

Paul

Но скрипты-то на этом фишинговом сайте будут отключены или нет? Т.е. с базовой функцией запрета скриптов в данном случае NS справляется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Но скрипты-то на этом фишинговом сайте будут отключены или нет? Т.е. с базовой функцией запрета скриптов в данном случае NS справляется?

Во-первых, не все атаки идут через скрипты. Во-вторых, если атакуется уязвимость в памяти через DoS (часто таких находятся), то тогда скрипты не обязательно нужны, и Firefox так же отупеет как Windows и все остальные. Мы не должны забывать, что решение защиты не может делать больше, чем позволяет та платформа на которой оно стоит. Если отупеет Firefox (платформа), то тогда и NoScript (решение безопасности) ничего не сделает и злостный код грузится без отказа... Повезло до сих пор, что дыры очень быстро закрываются. Giorgio всегда справляется за 2-3 часа с момента обнаружения. Но некоторых вещей просто нельзя решать - они зависят от самого браузера...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mikh

Спасибо за разъяснение.

Отредактировал Umnik
оверквотинг

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Забыл сказать, что это как правило (и на практике) только относится к тем страницам, которые уже в доверенные. Разрешения для них могут отменить запреты для третьих сторон при определённых обстоятельствах. Исправления NoScript последнее время были именно такого типа, но они, естественно не разглашаются... :) Вы видели мой список доверенных в соседней теме - он пуст; то есть: доверенных нет. Только когда обязательно надо временно разрешаю. И настройка по умолчанию 'Base 2nd Level Domains' (noscript.net) изменил на 'Полные Адреса' (http://www.noscript.net).

Да, и потом AdblockPlus для меня ещё дополнительный слой, но это точно не каждому по душе...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alexD
    • alexD
      Ну тогда ставьте алюминиевые. Сугубо личное мнение. 
    • kamri
      У меня частный дом, система автономная. Изначально хотел стальные, так как они дешевле.Но сейчас больше склоняюсь к алюминиевым, вроде объективно эффективней + дизайн. 
       
    • alexD
      Все будет зависеть от того, что за система отопления у вас и какой теплоноситель там. Если центральная, то ставьте биметаллические, если автономная, то алюминий.
       
    • PR55.RP55
      1) Не устанавливайте алюминиевые >  высокая коррозия - быстро могут выйти из строя, есть риск прикипания резьбовых соединений и срыва резьбы при монтаже\демонтаже, быстро остывают. Алюминий химически активный металл = реакция с кислородом и т.д. 2) Есть хорошие отзывы по биметаллическим радиаторам: большой срок службы, небольшой вес, устойчивость к коррозии на уровне чугунных батарей ( по заявлениям производителей ) 3) Чугунные: если стены\крепления позволяют нести большой вес ( 30-40 кг батарея) и речь идёт о частном доме - рекомендую их. Так, как в случае отключения электро энергии они долго остывают продолжая отдавать тепло ( по моим прикидкам  + - 1 градус в минуту  т.е. батареи будет греть ещё около часа ) при начальной температуре в помещении порядка +20 ) Если дом загородный и вы там бываете наездами и в ваше отсутствие котёл работает на минимальной мощности - то потребуется время на нагрев чугунных батарей и только после того, как металл наберёт температуру - начнётся нагрев воздуха в помещении т.е. это ещё и вопрос комфорта. Из минусов - ржавчина и чугунные батареи не подойдут если у вас котёл настенного типа с теплообменником. Ржавчина + жёсткая вода ( накипь ) = выход элемента котла из строя. = замена дорогой детали и проблема с её поиском\заменой. ---------- При монтаже системы не стоит экономить - устанавливайте трубы большого диаметра. Если помещение небольшое можно добиться естественной циркуляции теплоносителя - без установки дополнительного электро двигателя. ( и без системы бесперебойного электро снабжения ) Соответственно не брать котёл с патрубками малого диаметра. Ориентироваться на диаметр порядка: 50.  Желательно не брать котёл с теплообменником если у вас жёсткая вода и образуется много накипи = быстрое засорение. Рекомендую устанавливать котёл в отдельном помещении - во избежание запаха газа, шума работающего двигателя, шумов от стабилизатора напряжения, сигналов от бесперебойный ( при работе от батареи ) Надёжнее всего напольный котёл. ( как правило у него нет платы контролера - значит она не выйдет из строя, не нужен стабилизатор напряжения, меньшая цена котла ,  меньшая цена обслуживания, простота обслуживания )    
×