Re: [-Fx-] NoScript 造成的安全性漏洞

看板Browsers作者knight00931 (slipkont真的不錯)時間15年前 (2009/05/03 13:53)推噓5(5推 0噓 11→)

留言16則, 7人參與討論串2/2 (看更多)

※ 引述《idej (Jedi)》之銘言： : - 實際上 EasyList 就只是在擋廣告而已。NoScript 網頁意圖 : 規避 EasyList 才是造成所謂「不相容」的主因前文恕刪 : - 這份 NoScript 加入的白名單不會事先取得使用者同意，就逕行加入； : 而且加入後無法移除（移除的話下次開啟 Firefox 時會自己加回來）， : 只能停用。就算反安裝 NoScript 後，那個白名單也還是在。 : 註： : 現在的 NoScript 網頁上說，NoScript 1.9.2.6 會不經詢問自動移除 : 前述的白名單.... 我在chinalist的Google論壇上看到這篇新聞(簡體) http://software.solidot.org/article.pl?sid=09/05/02/0928205 lovelywcm寫道"隨著Firefox的日趨流行，企業開始把目光聚焦到Firefox擴展開發者的身上。Adblock Plus的作者Wladimir Palant曾透露，他收到了很多郵件，詢問他是否願意在ABP中增加廣告。Wladimir Palant在他5月1日的Blog中曝光了另一款著名擴展NoScript ，為了商業利益採取類似惡意軟件的手段。事情的起因是NoScript的網站放置了大量廣告，然後頻繁升級，NoScript每一次升級都會自動彈出這個網站顯示廣告，從而賺取廣告費。然而，因為Adblock Plus，NoScript的計劃落了空。因為ABP主力訂閱列表EasyList已經將它的廣告列入黑名單。NoScript選擇的解決之道是，發布了一個新的版本，這個新版本有一個額外的功能就是干擾ABP，使其在NoScript的網站上變得無效。因為已經涉嫌違反Mozilla的策略，NoScript的作者最終同意還原了這次修改。但是，他選擇了另一種方法：使用ABP提供的接口，向ABP添加一系列的規則（將NoScript相關的網站加為白名單）。這些規則是在用戶不知情的情況下添加的，沒有詢問用戶是否同意。雖然，可以打開 ABP的首選項手動將這些規則禁用，但是它們將在下一次Firefox重啟後被NoScript重新啟用。這條消息曝光之後，NoScript受到了廣泛的批評[1] [2]。尤其是，它作為一款標榜保護安全的軟件，卻偷偷地為了利益行惡意軟件之實，如何能讓用戶放心將隱私交予它管理？另一方面，NoScript的作者解釋說，其實用戶是可以刪除他添加的那些規則的。之所以刪除之後會被重新添加，是因為一個bug，他會在新版本中修正這個問題。這裡有NoScript的作者Giorgio Maone回覆: http://forums.informaction.com/viewtopic.php?f=7&t=877&start=90#p3162 -- 所以...再等看看? -- 恰~~離~◣◢ 恰~~~離~跟我們◣◢ 喔~當你心情低落需要東西振奮時嘔~他們偷走了 ◢ ⊙◣ 去糖果山 ◢ ⊙◣ ﹏﹏﹏﹏﹏﹏﹏﹏﹏就馬上我的腎臟 ◢██ ◢◣︶ ◢██ ◢◣︶ ⊙⊙ ⊙ ⊙⊙ ⊙⊙ ⊙⊙˙ 來到 ◣◢ ██ █ 好啦~ ◣◢██ █ ▄▄▄▄ ╲ ▄ ▄ / ◢⊙ ◣ ◢⊙ ◣ ╭ ▄▄e ▄ ▄▄ ▄ 糖果山︵◢◥ ▄▄ ▄▄ 皿◢◣ ▄▄ ▄▄ /\ /\ /\ /\ /\ 洞穴～ ψQSWEET ﹏ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.135.0.66

推

emethxyz

05/03 14:00, , 1^F

05/03 14:00, 1^F

推

NintendoGC

05/03 14:05, , 2^F

05/03 14:05, 2^F

→

NintendoGC

05/03 14:08, , 3^F

05/03 14:08, 3^F