作者knight00931 (slipkont真的不錯)
看板Browsers
標題Re: [-Fx-] NoScript 造成的安全性漏洞
時間Sun May 3 13:53:53 2009
※ 引述《idej (Jedi)》之銘言:
: - 實際上 EasyList 就只是在擋廣告而已。NoScript 網頁意圖
: 規避 EasyList 才是造成所謂「不相容」的主因
前文恕刪
: - 這份 NoScript 加入的白名單不會事先取得使用者同意,就逕行加入;
: 而且加入後無法移除(移除的話下次開啟 Firefox 時會自己加回來),
: 只能停用。就算反安裝 NoScript 後,那個白名單也還是在。
: 註:
: 現在的 NoScript 網頁上說,NoScript 1.9.2.6 會不經詢問自動移除
: 前述的白名單....
我在chinalist的Google論壇上看到這篇新聞(簡體)
http://software.solidot.org/article.pl?sid=09/05/02/0928205
lovelywcm寫道"隨著Firefox的日趨流行,企業開始把目光聚焦到Firefox擴展開發者的身
上。Adblock Plus的作者Wladimir Palant曾透露,他收到了很多郵件,詢問他是否願意
在ABP中增加廣告。Wladimir Palant在他5月1日的Blog中曝光了另一款著名擴展NoScript
,為了商業利益採取類似惡意軟件的手段。
事情的起因是NoScript的網站放置了大量廣告
,然後頻繁升級,NoScript每一次升級都會自動彈出這個網站顯示廣告,從而賺取廣告費
。然而,因為Adblock Plus,NoScript的計劃落了空。因為ABP主力訂閱列表EasyList已
經將它的廣告列入黑名單。NoScript選擇的解決之道是,發布了一個新的版本,這個新版
本有一個額外的功能就是干擾ABP,使其在NoScript的網站上變得無效。因為已經涉嫌違
反Mozilla的策略,NoScript的作者最終同意還原了這次修改。但是,他選擇了另一種方
法:使用ABP提供的接口,向ABP添加一系列的規則
(將NoScript相關的網站加為白名單)
。
這些規則是在用戶不知情的情況下添加的,沒有詢問用戶是否同意。雖然,可以打開
ABP的首選項手動將這些規則禁用,但是它們將在下一次Firefox重啟後被NoScript重新啟
用。
這條消息曝光之後,NoScript受到了廣泛的批評[1] [2]。尤其是,它作為一款標榜保護
安全的軟件,卻偷偷地為了利益行惡意軟件之實,如何能讓用戶放心將隱私交予它管理?
另一方面,NoScript的作者解釋說,其實用戶是可以刪除他添加的那些規則的。
之所以刪
除之後會被重新添加,是因為一個bug,他會在新版本中修正這個問題。
這裡有NoScript的作者Giorgio Maone回覆:
http://forums.informaction.com/viewtopic.php?f=7&t=877&start=90#p3162
--
所以...再等看看?
--
恰~~離~◣◢
恰~~~離~跟我們◣◢
喔~當你心情低落需要東西振奮時 嘔~他們偷走了
◢ ⊙◣ 去糖果山 ◢ ⊙◣ ﹏﹏ ﹏ ﹏﹏ ﹏﹏ ﹏﹏ 就馬上 我的腎臟
◢██ ◢◣︶ ◢██ ◢◣︶ ⊙⊙ ⊙ ⊙⊙ ⊙⊙ ⊙⊙˙ 來到 ◣◢
██ █ 好啦~ ◣◢
██ █ ▄▄▄▄ ╲ ▄ ▄ / ◢
⊙ ◣
◢
⊙ ◣
╭
▄▄e ▄ ▄▄ ▄ 糖果山 ︵◢◥
▄▄ ▄▄ 皿◢◣ ▄▄ ▄▄ /\ /\ /\ /\ /\ 洞穴~ ψQSWEET ﹏
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.135.0.66
推 emethxyz:幹嘛修 別加就不會被罵啊XD... 05/03 14:00
推 NintendoGC:早就沒在用這擴充套件了,AdBlock plus 還比較重要! 05/03 14:05
→ NintendoGC:下一版會修正?然後再賺一次廣告費? XD 05/03 14:08
→ jtmh:上一篇文章已經有說最新版有修正了,而且作者也出來道歉了, 05/03 17:02
→ jtmh:現在作者網站已經被 ABP 脫光光了 XDD 05/03 17:03
→ knight00931:咦...我沒看到呀 囧 05/03 19:32
→ jtmh:就最後 註 那一段,"NoScript 1.9.2.6 會不經詢問自動移除前 05/03 22:17
→ jtmh:述的白名單...." 05/03 22:18
→ knight00931:喔 是呀 我只是再用顏色標出來而已 05/03 22:36
→ knight00931:這篇有提到作者下次會修正 不過前面那篇沒有@@ 05/03 22:37
※ 編輯: knight00931 來自: 220.135.0.66 (05/03 22:53)
推 jtmh:拍謝 ^^; 是我跳太快了,我的意思是他 註 的那一段所講的就是 05/03 23:00
→ jtmh:已經修正過的版本了 (1.9.2.6),造成誤會,抱歉! 05/03 23:01
→ knight00931:原來如此 我以為還沒 囧rz 05/03 23:06
推 timmy5519:找資料的時候最好開noscript 咖安全 05/05 19:07
推 nubi:等看完才擋就來不及了.... 05/08 09:42