Как я могу заставить firefox выполнять только JavaScript с цифровой подписью javascript?

414
rjt

Вот почему в прошлом году эпидемия вредоносной рекламы стала намного хуже. Принудительные перенаправления от группы циркония подталкивают фальшивые вредоносные программы и фальшивые обновления Flash. DAN GOODIN - 23.01.2008, 5:00 AM Вредоносному javaScript не требовались эксплойты MeltDown или Spectre для фальсификации https://support.Microsoft.com .

В эпоху 1990-х годов Netscape имел возможность цифровой подписи javascript, и Mozilla перенесла большую часть этого API в firefox . Но не нашли настройки для ограничения выполнения javascript строго javascript с цифровой подписью.
Если Firefox не поддерживает это, существует ли какой-либо веб-браузер с собственной (не подключаемой) возможностью отказаться от выполнения JavaScript, который не имеет цифровой подписи? В идеале можно было бы отрицать весь javascript, кроме короткого белого списка доверенных доменов расширенной проверки. Тогда, возможно, WhiteList - более короткий список проверенных доменов javaScript с цифровой подписью от этих конкретных авторов / доменов.

0
с чего вы взяли, что javascript, загруженный в браузер, может иметь цифровую подпись? Я не могу сказать, что когда-либо сталкивался с этой рекомендацией, и это сломало бы большую часть Интернета. Вы говорите о целых файлах .js или запасных методах? Frank Thomas 6 лет назад 0
Было бы проще сделать целые файлы .js. Перейдите по ссылке [firefox в вопросе] (https://www-archive.mozilla.org/projects/security/components/signed-scripts.html), которая показывает, что он существует с дней Netscape, что заставляет меня задуматься, как это могло сломать интернет. Что хорошего в том, чтобы перейти на веб-сайт https, а затем выполнить потенциально вредоносный JS? Очень много рекламных платформ содержало вредоносный javascript, поэтому noscript и adBlock стали такими популярными. rjt 6 лет назад 0
MeltDown и Spectre позволяют вредоносному javascript читать другие приложения и память ядра, поэтому сейчас нам действительно нужна эта функция. rjt 6 лет назад 0
С MeldDown и Spectre в игре подписанный JavaScript не будет лучше, чем неподписанный. Что-либо подписанное означает, что кто-то заплатил много денег, чтобы получить авторизованный ключ подписи. это немного поднимает планку, но недостаточно высоко. Кроме того, весь интернет должен был бы измениться, чтобы сделать то, что вы предлагаете, и никто даже не пытается подойти так близко, как я могу сказать. даже если стало модным подписывать весь javascript и разрешать выполнение в браузере, только если скрипт подписан, это приведет только к подписанному вредоносному ПО в гораздо меньшем Интернете. Frank Thomas 6 лет назад 0
Большинство веб-сайтов, которые нужны людям для выполнения своей работы, - это очень небольшая часть интернета. Поэтому ограничьте javascript, который запускается, коротким белым списком подписанного кода сертификата расширенной проверки. Возможно, более короткий список проверенных доменом сертификатов javascript. Для всех других сайтов сотрудникам можно сказать, что Интернет работал до JavaScript. rjt 6 лет назад 0
Я не говорю, что ты не прав. Я говорю, что ваша лошадь мертва, поэтому вы можете перестать бить ее сейчас. Frank Thomas 6 лет назад 0
Взяв ДНК мертвой вымершей лошади и вернув ее к жизни. rjt 6 лет назад 0

0 ответов на вопрос

Похожие вопросы