| 1.2, gsdh (?), 07:57, 22/07/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +28 +/– |
А раньше программы на си запускали под разными юзерами, чтобы кто попало не нахе-равертил, а теперь в могучем js,то из одной одной песочницы выползут, то из другой сбегут, а ведь им говорили, без разницы на каком языке криво писать, но они не верили.
| | |
| |
| 2.10, And (??), 10:13, 22/07/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Зато они вовремя закрыли свои задания в Джире и сократили time to рынок!!! Халтура.
Не хочу быть знакомым с теми. )))
| | |
| |
| 3.16, Hewlett Packard (?), 14:23, 22/07/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
Но и это не очень получается. Реклама того что ты вчера уже купил две следующие недели показывается, невзирая на весь прогресс в ИИ и вычислительных возможностях.
| | |
|
| 2.13, Вуыкло (?), 13:00, 22/07/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Дак хром и написан на с/с++, включая сендбоксинг, причем тут код на js?
| | |
| |
| 3.19, Аноним (19), 18:29, 22/07/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Так любая реализация JS, даже написаная на JS уязвима по умолчанию. Казалось бы причём тут C\C++?
| | |
|
|
| |
| 2.5, Аноним (5), 08:19, 22/07/2019 [^] [^^] [^^^] [ответить]
| +19 +/– |
А вы, сэр, оптимист. С текущими темпами "разработки" браузерам будет нужен терабайт в 2022.
| | |
| |
| 3.17, Аноним (17), 15:44, 22/07/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
это смотря какие "Tabs", некоторые редакторы вообще тысячи табов могут отобразить... и даже сконвертировать их в пробелы
| | |
|
| 2.30, Vivaswan (ok), 08:58, 26/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Шел 2025 год.... "Урра, я купил терабайт памятии теперь могу запустить Пакман и Крестики-нолики в джава-Google-Chrome!!!"
| | |
|
| |
| 2.8, ыы (?), 09:09, 22/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
С чего это вдруг... У вас есть выбор...И как утверждает масса- более десятка таких выборов...
| | |
| |
| 3.20, Аноним (19), 18:33, 22/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
Выбор отключить все скрипты или жить с ними? Проблема то в любом браузере существует, который исополняет жабу.
| | |
|
|
| 1.9, Аноним (9), 09:52, 22/07/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Права доступа предполагают, что без unsafe-eval дополнение имеет возможность выполнить только код, входящий в локальную поставку…
Шёл 2019 год, ожагс пропихнули в каждую щель, но мы предполагаем, что данные извне получить нельзя…
| | |
| |
| |
| 3.24, Аноним (24), 11:25, 23/07/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
А чем еще-то? Только var o=eval('('+msg+')') и не иначе. Остальное бьет по производительности.
| | |
|
|
| 1.25, freehck (ok), 12:15, 23/07/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > сводится к подстановке тега script через document.createElement('script') и включения в него внешнего содержимого через функцию fetch, после чего код будет выполнен в контексте самого дополнения.
O_O
Нет слов.
Я как-то не понял: гугель мало платит за отчёты о таких ошибках, что их просто-напросто никто не ищет? Как это могло дожить до 2019го?
| | |
| |
| 2.26, Агл (?), 13:18, 23/07/2019 [^] [^^] [^^^] [ответить]
| +/– |
1) "Bigger Rewards for Security Bugs
July 18, 2019"
2)
"
R. Hill
@gorhill
18 июл.
Nowadays it's best to presume the world wide web is highly hostile to users, and installing a *trusted* content blocker is the best mitigation.
"
| | |
|
| 1.28, Аноним (28), 08:51, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Всегда считал это не уязвимостью, а штатным способом выполнить свой код с сервера в дополнении. Даже на stackoverflow похожий способ опубликован
| | |
|
