Исходное сообщение
"Инструмент аудита cross_fuzz позволил найти более ста ошибок..." Отправлено filosofem, 02-Янв-11 14:39
Вредоносный код могут пропихнуть на любой сайт. Панацеи не существует и NoScript при всех плюсах далек от панацеи. Только комплексный подход и контролируемая паранойя дают некоторую гарантию защищенности. ЗЫ Прогнал фузз в ночных сборках фаерфокса 3.6 и 4.0, никаких крэшей и течек не обнаружилось. ЗЫЗЫ Просмотр кода навел на мысль, что полезной функцией для защиты было бы не блокировка джаваскрипта на основе домена и адреса как в NoScript, а запрет некоторых сомнительных функций вроде eval() и конструкций потенциально эксплойтящих уязвимости браузера. Нормальные програмеры их все равно не используют.