Какой набор бреда, ужас. Скажи честно, ты не пробовал uM или не разобрался? Хота walkthrough на вики должно хватить не идиоту. https://github.com/gorhill/uMatrix/wiki/Very-bare-walkthroug...> И это огромный плюс. Когда в интернете нужно работать, а не онанировать на "безопасность", от детальной системы разграничений в uMatrix нет никакого толка.
Это огромный минус. Потому что uM может и глобальные правила создавать, как носкрипт, и локальные (на основной домен или на субдомен). Там есть scope, раньше в виде дропдаун-списка, теперь в новом виде. Он даёт свободу и возможности. В отличие от носкрипта.
> Какая мне разница, какой там тип ресурсов качается, — javascript, svg или css, — если все три можно использовать для отсылки информации злоумышленнику?
В левой части матрицы строки доменов для чего? Тыкаешь и запрещаешь/разрешаешь всё с домена, на манер Request Policy.
> Какая разница, с какой из десятков открытых страниц будут отправляться запросы на зайт с троянами?
На сайт с троянами — никакой. Но есть разные кейсы, и локальные правила очень полезны. Я могу разрешить на одном сайте скрипт/фрейм твитера, чтобы увидеть твиты с пикчами и видео, и не разрешать их больше нигде. Носкрипт такого не позволяет.
> Не его работа. Для этого существуют RequestPolicy, uMatrix и другие блокировщики общего назначения.
Поэтому он и не нужен. uM успешно заменяет и носкрипт, и RP, делая всё удобнее и нагляднее.
> Если на сайте уже есть троянский код, размещённый самим владельцем сайта, блокировка левых доменов поможет как мёртвому припарка. Захочет — скачает троянский payload со своего собственного CDN с изображениями. Или вообще инлайном, в html, все 100 мегабайт. Его среднестатистический пользователь и не поморшится.
Защиту против этого никто не обещает (в том числе NS+RP). Но пока дела таковы, что 98% мусора находится на сторонних доменах и подход юматрикса очень полезен.
> А он сейчас не нужен? Что-то не наблюдаю в uBlock такой фичи.
У тебя есть флеш до сих пор? А хтмл5 клик-ту-плеить носкрипт никогда не мог нормально, ютуб всегда ломался.
> noscript это не замена и не альтернатива uMatrix или hosts-файлу, а последний уровень защиты, когда пользоваться сайтом всё-таки хочется, но позволять выполнять любые скрипты с *любых* источников по прежнему стрёмно. У меня это обычно выглядит так: 1. Клик правой кнопкой 2. Посмотреть на список скриптов 3. "Temporarilly allow all on this page" 4. Повторить пока сайт не заработал или не кончилось терпение.
А теперь расскажи, почему ты не можешь ровно то же сделать в uM? Можешь. И более удобно и наглядно.
> во первых потому что он фактически заброшен в пользу uBlock
Устаревшая информация. Уже как 2 месяца Горхил вернулся к активной разработке uM, объяснив это тем, что сам к его использованию вернулся и заменил юблок. Там сейчас прекрасные изменения, в виде парсинга <носкрипт> тегов и детекта веб-воркеров.
> а во вторых потому что он был скопипащен с HTTP Switchboard — гугловского отладочного инструмента, никак не связанного с безопасностью
Опять мантры какие-то. Ещё как связанного. Он создавал свитчбоард для знакомых на хроме, когда сам пользовался NS+RP на лисе. И при зарождении он по сути был просто юматрицей со статической фильтрацией юблока. Сейчас она успешно заменяет NS+RP, не проигрывая в безопасности, но выигрывая в удобстве и наглядности.
> Giorgio Maone хорошо понимает, что единственный способ сделать рабочий механизм безопасности — сделать его как можно проще.
Ага, и поэтому новый носкрипт ещё хуже стал. И как в твоей картине мира укладывается то, что на сайтах Маоне многие годы в рекламных блоках находится малварь-прога по очищению/ускорению компа? А то, что он 10 лет назад воевал с ABP, грязно выключая его на своих сайтах. Кто же он после этого?
> И идеологии у этих инструментов разные: когда заходишь на сайт, сломанный из-за noscript, там видно красивый список ссылочек на г*но, которое ему хочется качать.
Как раз таки нет. Когда ты заходишь на сайт, ты смотришь и в лист носкрипта (скрипты, шрифты, видео, флеш, фреймы) и в попап RP (обезличенные сетевые запросы). А если ты не держишь RP, то просто теряешь в безопасности.
> Когда заходишь на сломанный сайт с uMatrix… да фиг его знает, что он там покажет.
Он покажет всё в лучшем варианте, который пока придумали. Сходный был только в умеревшем Policeman.
Ты увидишь и список доменов (которыми можешь рулить на уровне RP, не смотря на подробные колонки, если хочешь. Ты увидишь и список скриптов/фреймов. Ты увидишь и пикчи, видео, плагины, будешь наглядно видеть, пикчи тянутся с какого-то домена или XHR шлётся, и сможешь разрешить только конкретные типы, которые хочешь. А если не хочешь типы, рулишь целым доменом.
> Не заточены Gorhill-овские поделки на глобальный режим белого списка.
Ты просто его не нашёл, болезный. Переходишь в глобальный скоп (звёздочкой обозначается) и делаешь глобальные правила.
> И отсутствие суррогатов, вроде noscript-овских заглушек к Google Analytics
Они есть в юблоке. Зачем тебе это в носкрипте? И где они в нём сейчас, кстати?
