Это цитата сообщения Kancstc Оригинальное сообщение
И снова о безопасности в Сети. Ява-скрипт и тонкая настройка браузера
Итак, снова суббота, а значит опять хороший повод поговорить о безопасности. Тем более что в свете откровений некоего Сноудена тема безопасности в Сети становится особенно актуальной. Сегодня я расскажу (как и обещал) немного подробнее о ява-скриптах и о более тонкой настройке браузера.
Однако, прежде всего, несколько общих замечаний. Обеспечение безопасности – весьма затратный вид деятельности, причём зачастую (особенно на личном и семейном уровне) затраты не столько финансовые, сколько организационные. За безопасность приходится платить отказом от каких-то удобств, усложнением обычных процедур и бОльшими затратами времени на самые обычные и привычные действия. При том что абсолютной безопасности достичь невозможно и порой устранение одних угроз приводит к появлению других. Например, хранение данных на зашифрованных носителях в некоторой степени ограждает Вас от случайного разглашения этих данных, но, в то же время, повышает риск их потери. Ибо хорошие программы шифрования не предусматривают возможности восстановления забытого пароля. Просто потому что при применении хороших методов шифрования никакое восстановление пароля технически невозможно. Посему к вопросам безопасности надо подходить творчески, осознанно и всегда знать меру. И вот сегодня мы как раз подошли к вопросам, которые невозможно решить по схеме: "Нажми такую кнопку, нажми другую кнопку и будешь в шоколаде!". Это как раз те вопросы, которые требуют полностью осмысленного подхода, понимания к чему приведёт то или иное решение. И, соответственно, осознанное принятие решения: надо ли это именно Вам?
Усмиряем JavaScript
Что такое JavaScript (ява-скрипт, яваскрипт, оно же ява скрипт) я уже писал. Это такой язык программирования, небольшие программки на котором (скиптЫ) встраиваются непосредственно в тело HTML документа и позволяют здорово расширить функциональность веб страниц. JavaScript умеет обрабатывать события связанные со структурой HTML документа и обращаться к его составным частям, благодаря этому можно проворачивать такие штуки, как изменение текста и оформления страницы без её полной перезагрузки (как, например, при добавлении комментария в Лире). Однко многие возможности JavaScript можно использовать во вред пользователю и их желательно ограничивать. Вот с этим-то мы и будем разбираться.
Как всегда, рассказывать я буду на примере браузера Опера. У других браузеров тоже есть аналогичные настройки, найти их не сложно, для этого достаточно внимательно и осмысленно читать то, что имеется на экране.
Итак, идём в Общие Настройки –> Расширенные –> Содержимое:
Там обращаем внимание чтобы галочка "Включить JavaScript" была установлена. Без этого, как я уже говорил раньше, большинство современных сайтов не будут корректно отображаться и работать. Дальше следует нажать "Настроить JavaScript". Откроется окно с настройками ява-скрипта:
Разберём всё по пунктам.
1) Позволить изменять размеры окон.
Относится только к окнам порождаемым браузером. Эта функция может использоваться при открытии вспомогательных окон с содержимым корзины в интернет-магазине, например, или при выводе окна с пояснением, подсказкой. За ради более красивого, а в ряде случаев и просто адекватного оформления. А может и для того чтобы перекрыть все другие окна на рабочем столе окошком с предложением заплатить денюжку СМС-кой по короткому номеру.
Думаю никто не обидится, если размеры окон иногда придётся подгонять ручками? А вот второй вариант использования вполне может вызвать некоторые неудобства. Вывод – отключить!
2) Позволить перемещать окна.
В отличие от предыдущего, придумать этому конструктивное применение я не могу, а вот сделать окошко, которое будет убегать от курсора – пожалуйста! Давим пакость в зародыше и говорим отключить!
3) Позволить окнам забирать фокус.
Если кто не в курсе: окно в фокусе если оно в данный момент взаимодействует с пользователем. Вообще-то JavaScript частенько открывает так называемые модальные окна, то-есть окна, которые блокируют любое другое взаимодействие с браузером пока Вы не совершите каких-то необходимых действий. И это необходимо (и не отключается). Но действие этих окон распространяется на одну вкладку браузера – конкретно ту, из которой оно открылось. У Вас всегда остаётся возможность закрыть эту вкладку или весь браузер. А вот эта функция – "Позволить окнам забирать фокус" – носит общесистемный характер и может заблокировать для Вас возможность вообще переключиться в любое другое приложение. Опять же, конструктивного применения этой гадости я не вижу, посему – отключить!
4) Позволить окнам терять фокус.
Собственно то же самое и с теми же результатами. И вывод тот же – отключить!
5) Позволить менять строку состояния.
Строка состояния – небольшая панелька, как правило, в самом низу окна браузера:
Там обычно отображается масса ценной информации, например, адрес ссылки, на которую Вы хотите кликнуть:
Соответственно, подмена информации в этом месте чревата переходами в неизвестно куда с неизвестными последствиями, появлением сообщений якобы от браузера, сокрытием важной для принятия решения информации и далее по курсу.
Вроде бы ясно, НО!
Строка состояния – очень удобное место чтобы выдать пользователю какую-нибудь полезную, важную, а может и просто интересную информацию. За просто так, ради пользовательской (то-есть, Вашей) пользы. Значит отключение этой опции может сыграть и против Ваших интересов.
Вывод: отключить, но внимательно следить за результатами! Если вдруг окажется что какой-то сайт использует эту возможность и без неё ну никак – включить конкретно для этого сайта. А если как, то пусть лучше так и будет выключено.
К счастью, ситуации когда доступность этой функции становится критически важной очень и очень редки. Лично я не могу припомнить ни одного сайта, где отключение этой функции хоть как-то сказалось бы на возможности им пользоваться. Правда, я никогда не играю в он-лайн игры...
6) Позволить контролировать правую кнопку мыши.
Что такое правая кнопка мыши, надеюсь, знают все. В любом браузере на неё навешано множество полезных функций. Но в том-то и дело, что некоторые сайты из разных соображений переопределяют её функции. Кто-то чтобы запретить нам сохранять картинки (правда, некоторые сайты делают это даже с отключённой в браузере соответствующей функцией JavaScript) или изменить функции этой кнопки под свои задачи (как в картах Гугеля). Соответственно, если контроль правой кнопки в браузере запрещён, функциональность сайта уменьшится, а то и вообще сойдёт на нет. Выход, как и в предыдущем случае: отключить, но если какие-то важные функции сайта оказываются недоступными – попробовать включить для данного конкретного сайта. А вот как это сделать – чуть дальше.
7) Позволить скрывать панель адреса.
Панель адреса – то место куда Вы руками вбиваете адрес сайта, на который хотите перейти. Или сам браузер пишет туда адрес места, куда Вы попали:
Обычно вместе с ней убирается всё что в этом месте находится: панель поиска и панели инструментов. Функция используется в дизайнерских целях или в мошеннических, чтобы Вы не знали куда Вас занесло или не могли скопировать адрес страницы/картинки. Думаю, некоторое утяжеление дизайна мы спокойно переживём, а вот другое использование функции нам не надобно. Посему – отключить!
8) Последнее: Открывать консоль при ошибке.
Это большей частью для разработчиков, тестирующих свои творения в сфере веб-программирования. Остальным стоит поберечь свой мозг. Поверьте, он Вам ещё понадобится. Отключить! В смысле, не мозг, а эту опцию.
Настраиваем браузер под конкретный сайт.
Как уже заметили мои читатели, главный принцип предлагаемой мной политики – всё запретить. Но иногда случается что на каком-то конкретном сайте какая-то конкретная функция всё-таки нужна. Кое-что можно решить динамически, например, запустить плагин при надобности, или позволить принимать куки. Кое-что надо назначать специально, как правила для ява-скриптов. Делается это так: Привычно входим в настройки: Общие Настройки –> Расширенные –> Содержимое, находим кнопку "Настройки для сайтов":
Откроется окошечко:
Вот там уже можно выбрать однажды встреченный сайт и переопределить политики для него, можно ввести новый и определить конкретную политику заранее. Вот пример окна редактирования настроек браузера для данного конкретного сайта:
Собственно, здесь повторяются все настройки браузера, только применяться они будут только к одному конкретному сайту и полностью перекроют общие настройки. То-есть если индивидуальные настройки сайта противоречат общим настройкам браузера, применяться к данному конкретному сайту будут определённые для него настройки.
Разобраться в этих настройках просто, надо внимательно читать что написано на экране и думать над каждым словом.
Успехов!
ЗЫ:
Я всё показывал на примере Оперы. В других браузерах всё делается аналогично. Конечно, могут быть некоторые отличия в названиях опций, в том как они сгруппированы, но понимая суть Вы справитесь и с конкретикой. В конце концов, настройка браузера это такой увлекательный квест! Вам понравится!
А если есть вопросы – спрашивайте, я всегда рад ответить.