> Во-вторых, мог только в глобальные правилаИ это огромный плюс. Когда в интернете нужно работать, а не онанировать на "безопасность", от детальной системы разграничений в uMatrix нет никакого толка. Какая мне разница, какой там тип ресурсов качается, — javascript, svg или css, — если все три можно использовать для отсылки информации злоумышленнику? Какая разница, с какой из десятков открытых страниц будут отправляться запросы на зайт с троянами?
UI в uMatrix настолько уродлив, что предоставляет пользователю всего два варианта: или тыкать на *каждом* сайте в несколько кнопок (пока рано или поздно не пропустишь "подарочек" в svg-"картинке") или давать перманентные глобальное разрешение на все запросы к сайту/с сайта, — гораздо хуже чем в noscript!
> В-третьих, он не рулит сетевыми запросами и пропускает XHR
Не его работа. Для этого существуют RequestPolicy, uMatrix и другие блокировщики общего назначения.
> юзеры носкрипта периодически приходили со скринами и словами «да не разрешайте эти домены и всё, ничего не ломается»
Какая разница, кто и что там говорил? Если на сайте уже есть троянский код, размещённый самим владельцем сайта, блокировка левых доменов поможет как мёртвому припарка. Захочет — скачает троянский payload со своего собственного CDN с изображениями. Или вообще инлайном, в html, все 100 мегабайт. Его среднестатистический пользователь и не поморшится.
> Есть и плюсы, если быть честным. Там был нужный для тех лет click-to-play.
А он сейчас не нужен? Что-то не наблюдаю в uBlock такой фичи.
> кликджекинг — блокировка сторонних фреймов
Чушь. Clickjacking, занимается разграничением доступа на более высоком уровне, чем встроенный в браузер трекер источника. Если сайту для работы требуется сторонний iframe, его никак не заблокировать через средства разграничения доступа на основе фильтров.
noscript это не замена и не альтернатива uMatrix или hosts-файлу, а последний уровень защиты, когда пользоваться сайтом всё-таки хочется, но позволять выполнять любые скрипты с *любых* источников по прежнему стрёмно. У меня это обычно выглядит так: 1. Клик правой кнопкой 2. Посмотреть на список скриптов 3. "Temporarilly allow all on this page" 4. Повторить пока сайт не заработал или не кончилось терпение.
В uMatrix такого удобного механизма нет и непредвидится, — во первых потому что он фактически заброшен в пользу uBlock (который в свою очередь особо не заточен под ручные разрешения), а во вторых потому что он был скопипащен с HTTP Switchboard — гугловского отладочного инструмента, никак не связанного с безопасностью. В отличии от Gorhill-а, Giorgio Maone хорошо понимает, что единственный способ сделать рабочий механизм безопасности — сделать его как можно проще. И идеологии у этих инструментов разные: когда заходишь на сайт, сломанный из-за noscript, там видно красивый список ссылочек на г*но, которое ему хочется качать. Когда заходишь на сломанный сайт с uMatrix… да фиг его знает, что он там покажет. Не заточены Gorhill-овские поделки на глобальный режим белого списка. И отсутствие суррогатов, вроде noscript-овских заглушек к Google Analytics, и многие другие вещи на это явно указывают.
