Открыть список
Как стать автором
Обновить

Комментарии 20

Иными словами, в фаирфоксе этот плагин может внутри webassembly сделать что угодно на каком угодно этапе с чем ему угодно? (В том числе за счёт ошибки (слишком тяжелая регулярная строка например) убить всю производительность браузера)?

Это всё прекрасно могут плагины и без webassembly.

Некоторое время назад нашёл проблему в официальном плагине Selenium IDE для Chrome: если открыта стартовая страница — это расширение загружает одно ядро процессора на 100%. Уж не знаю, используют они WebAssembly или нет, но косямбы реальны.
А в Firefox такой проблемы не обнаружилось.

Безусловно, но проанализировать код пусть и на обфусцированном, но всё же JS проще чем разобраться в коде веб ассемблера.

uBlock Origin — open source, там можно посмотреть откуда что берётся и без обфускации.

Стандартный вопрос: где гарантия что то, что оказалось в магазине приложений собрано именно из того же кода, что лежит на гитхабе?


P.s. С собственной сборкой то понятно

Судя по https://github.com/gorhill/uBlock/blob/master/.github/workflows/main.yml, там сборка скриптом в контейнере, так что должно воспроизвестись, разницы в окружении сборки не будет. Если не воспроизведётся — писать issue.

Хорошо.


Вы можете верифицировать конкретную версию, однако хром обновляет расширения скрытно, а раз у разработчиков есть ключ, он может залить какую-то зловредную версию ручками, у вас автоматом обновится версия на зловредную. Ведь никогда такого не случалось, когда злоумышленник получал несанкционированный доступ к ключам.


Понятное дело что риск и в хроме и в фаирфоксе, но в webassembler сложнее находить подобные уязвимости на этапе принятия в стор. Впрочем логика работает только если приложения вообще хоть как-то ревьюатся перед принятием, в противном случае разницы нет.

Вы слишком хорошего мнения о js. Обфусцированый код будет представлять из себя кашу, прочитать которую не получиться даже с помощью специальных скриптов, как минимум из-за возможности неявного вызова eval.
Буквально недавно продался злой корпорации Гугл так как по работе продуктивнее Хром вместе с сервисами Гугл. А ведь пользовался firefox с 2005г. Жаль конечно что компания опускается всё ниже и ниже, увольняют сотрудников, директора смещают только потому что не поддержал права геев, поставить по современным меркам бабу лезбу которая подняла себе зарплату в 2 раза, ну что же: Результат на лицо.
Приезжай к нам в РБ, тут нехватает ИТшников.
Столько текста и ни слова про Manifest V3.

Блин, одни переводы, хабр уже не торт совсем…
Половина того, что я читаю на HackerNews через неделю появляется тут.

Проблема не в переводах, они тоже нужны.
Проблема в том, что другого хорошего контента мало.

Странно, что еще не закрыли с "Won't fixed", потому что новое асинхронное API как раз было остовной причиной критики Manifest V3

Закрыли. Как бы… И нет, это не было причиной критики Manifest V3.

Хм, точно, нужно привыкнуть к багтрекеру хромиума, прочитал только название

При запуске Firefox ждёт готовности, пока uBO будет полностью готов к работе, прежде чем запускать сетевые запросы в уже открытых вкладках

Не знаю даже что и сказать… Много раз встречал противоположную ситуацию.
На очень старом компьютере с 1 Гб памяти это заметно. Также заметно на андроидах, тоже на старых. Открываешь страницу — реклама. Подождал, обновил — исчезла.

Может на последних версиях иначе стало.

Никогда такого не видел, даже на старых телефонах, только на хроме такое есть

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.