Компанией Trend Micro зафиксирована (https://blog.trendmicro.com/trendlabs-security-intelligence/.../) целенаправленная кампания по размещению баннеров с кодом для майнинга в сети DoubleClick с акцентированием размещения на сайте YouTube. Возможность использования JavaScript-кода в баннерах современных рекламных сетей открывает обширные возможности для злоумышленников, которые легко обходят многоуровневые автоматизированные проверки добавляемых баннеров. Помимо использования баннеров для распространения (https://www.opennet.dev/opennews/art.shtml?num=45631) вредоносного кода и автоматического перенаправления (https://www.opennet.dev/openforum/vsluhforumID4/489.html) пользователей на рекламируемые сайты, последнее время набирает популярность использования рекламных сетей для майнинга криптовалют.24 января сотрудники Trend Micro зафиксировали лавинообразное увеличение числа сайтов на которых применяется JavaScript-майнер Coinhive. Разбор ситуации показал, что источником кода является рекламная сеть Google DoubleClick, в которой c 18 января наблюдается вредоносная активность, которая главным образом сосредоточена на сайте
YouTube. Для пользователя подобные баннеры c кодом майнинга проявляются в существенном повышении нагрузки на CPU.
Несмотря на то, что по заверению (https://arstechnica.com/information-technology/2018/01/now-e.../) Google вредоносные баннеры были заблокированы в течение нескольких часов, злоумышленники продолжают обходить систему проверки кода баннеров и вредоносный код вновь и вновь продолжает появляться на YouTube. YouTube выбран как целевая платформа для размещения баннеров с кодом для майнинга криптовалют так как просмотр видео занимает длительное время и всё это время скрипт можно успешно потратиться на майнинг.В выявленном вредоносном баннере применяется два варианта JavaScript-кода для манинга криптовалюты Monero, которые спустя некоторое время после начала показа баннера с определённой долей вероятности загружаются с внешнего сервера в облаке AWS. Скрипты рассчитаны на то, чтобы не занимать более 80% ресурсов CPU (уровень throttle выставлен в 0.2). Первый скрипт coinhive.min.js загружается с вероятностью 90%, а в остальных 10% случаях используется mqoj_1.js. Скрипты основанн на коде сервиса Coinhive (https://coinhive.com/), предлагающего майнинг как новый способ монетизации для владельцев сайтов. Второй скрипт отличается тем, что он модифицирован для использования собственного пула для майнинга, чтобы не платить 30% комиссию сервису Coinhive.
URL: https://blog.trendmicro.com/trendlabs-security-intelligence/.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=47972
Ну как после этого не включать adblock?
Ну как после этого не установить noscript или umatrix?
Поставил этот ваш дурной матрикс, половина сайтов превратилась в тыкву, особенно всякие банкинги. И каждый раз надо вручную добавлять разрешения и перезагружать страницу.Нафиг надо такое счастье, снес к чертям.
Скорее к терапевту руки распрямлять.
Или к психотерапевту.На большинстве сайтов нужен только текст. А те сайты, что нужны полноценно(а таких не так уж и много), можно и поднастроить.
Так ютуб один из таких, а там даже мудрёные фильтры не справляются, лишь пре-роллы и контекстная реклама в аннотациях у видео блокируется
давно ютуб смотрю через smtube
> давно ютуб смотрю через smtubeА комменты на ютубе чем читаешь?
Зачем их читать?
Там что-то умное кроме споров детей и фанатиков было когда-нибудь?
> Зачем их читать?
> Там что-то умное кроме споров детей и фанатиков было когда-нибудь?Иногда в комментария х можно что-то уточнить или узнать дополнительно. Но да, IceCat показывает ютуб как пустышку ))))
>IceCat показывает ютуб как пустышкуУМВР
>>IceCat показывает ютуб как пустышку
> УМВРВыключен LibreJS? У меня включен (иначе IceCat бессмысленен), и, даже если сделать "клик, чтоб показать спрятанное", всё, что появляется, неинформативно и некликабельно.
> Зачем их читать?Это же самое интересное! Что на хабре, что на опеннете, что на ютубе — самое интересное в комментах! Зачем нужен ютуб без комментов? Фильмы/музыку можно и без ютуба смотреть/слушать.
> Там что-то умное кроме споров детей и фанатиков было когда-нибудь?
Там есть что угодно, от технических подробностей и ссылок на смежные ресурсы, до шуток и анекдотов юзеров. Читая комменты можно получить и интересную информацию и просто удовольствие и хорошее настроение. А мы разве не для этого на ютуб ходим?
товарищ как бы намекает, что в интерне он видит вокруг себя одно 6ыдло спорящее, матерящееся и прочее и тому подобное. И думает Этот товарищ, что он один вот такой хороший -чтобы кому-то когда-то плохое сказать ?Ни-ни! Видать только такой контент и просматривает. И даже в голову ему никак неприйдет, что всетаки 6ыдло которое он вокруг себя видит, находится в абсолютном меньшинстве. Просто он ходит "не туда". Я к примеру подписан на каналы замечательных творческих людей- Художников! как карандашом али кистью по холсту, так и 3D и 2D. И нету в коментах на каналах никакого сра4а. А одни лишь слова благдарности за то что дали узнать людям что-то новое да хвала за прекрасные работы! Ну и естественно обмен опытом в коментах - святое дело!
покажи свои работы, что ли. ну, иначе зачем тебе «обмен опытом»-то читать?
> Фильмы/музыку можно и без ютуба смотреть/слушать.На ютуб часто заливают всякие вещи типа событий, происшествий, отжигов и проч. Это можно взять и где-то еще, но - без нормального поиска, с намного менее популярных и разнообразных площадок, намного более кривых да и не умеющих DASH и качественное вещание с низким битрейтом в VP9. Поэтому все и пользуются ютубом. Он как интернет видео плеер просто лучший - наименее глюкавый, не отваливается, не лагает и хорошо делает свое дело.
Было и есть, но только на нормальных каналах, со вменяемой аудиторией - PBS Space Time, например. Там добровольцы из числа физиков и астономов частенько поясняют сложные моменты.
> А комменты на ютубе чем читаешь?Меня неправильно поняли, я уточню вопрос: какая прога, кроме браузера, может показывать комменты с ютуба, и, желательно, сохранять их в файл. Youtube-dl хорош, но комменты, увы, сохранять не умеет.
Так в smtube комментарии можно почитать.
> Так в smtube комментарии можно почитать.А smtube разве не браузер левого сайта? На скриншоте он выглядит как tonvid.com. То есть он не только браузер, а ещё и браузер, сливающий просмотренные мной видео стороннему сайту?
>> Так в smtube комментарии можно почитать.
> А smtube разве не браузер левого сайта? На скриншоте он выглядит как
> tonvid.com. То есть он не только браузер, а ещё и браузер,
> сливающий просмотренные мной видео стороннему сайту?И не работает там просмотр комментов что-то... Видно два десятка комментов и всё, ни ответов ни остальных комментов не показывает.
Рекомендую mpv + youtube-dl. Добавить smplayer по вкусу.
kodi
Под пульт == идеально! Но держать его на десктопе, ИМХО, перебор.
Нет, вам точно к руковыпрямителю. На трубе всё замечательно блокируется вышеуказанными средствами безо всяких тонких подстроек.
> Так ютуб один из таких, а там даже мудрёные фильтры не справляются,
> лишь пре-роллы и контекстная реклама в аннотациях у видео блокируетсяотключил в юматрикс все, кроме css, image, script и xnr для youtube.com и картинок с ggpht.com. Брат жив, чего и Вам желаю
А какая ещё там реклама? Я знаю, что в видео есть, но отлично режится uBlock. Никакой больше не вижу.
> Так ютуб один из таких, а там даже мудрёные фильтры не справляются,А не надо мудреных. Методом от противного решается тривиально:
Запретить по умолчанию ВСЕ. По уму не только ютубу но и остальным.
И разрешить только:
1: youtube.com (возможно даже www.youtube.com) - JS и XHR. Это чтобы морда плеера вообще запускалась и могла подхватить список серверов где качать видео.
2: googlevideo.com - XHR, оттуда собственно куски видео плеером таскаются.А, ну еще CSS и картиночки с доменов по вкусу. По минимуму достаточно CSS и картинок с youtube.com, если что-то отвалится - да и хрен с ним, меньше спама а смотреть видео не мешает.
зачем разгребать чужой огород? я обхожусь ublock origin и усе + https everywhere, в дэйли браузере носкрипт и иже с ним держать не собираюсь, это головная боль, для серча пираток есть тор и там уже есть носкрипт + на рутрэкере и ннм клабе они и не нужны особенно.
> зачем разгребать чужой огород? я обхожусь ublock origin и усе + https
> everywhere, в дэйли браузере носкрипт и иже с ним держать не
> собираюсь, это головная боль, для серча пираток есть тор и там
> уже есть носкрипт + на рутрэкере и ннм клабе они и
> не нужны особенно.В торе ноускрипт по умолчанию отключен и есть настройки приватности от "не ломают сайты" до "не работает вообще".
>На большинстве сайтов нужен только текстЭто просто клиника. Уходи назад в свой веб1.0 и используй wget вместо браузера, как твой кумир Стуллман.
Уже лет 10 веб без js нормально не работает и ни кто не учитывает в разработке сайтов маргиналов с отключенным js.
У меня на многих сайтах отключены скрипты через yesscript. Всё работает, нужная информация есть. Комментарии показываются. Встроенный в сайты тытруба особенно не нужен. Если что всё быстро отключается нажатием одной кнопки, но это бывает редко. Так что это вам надо пересать ходить на сайты, где всё сделано через js.https://thebestmotherfucking.website/
Вот, посмотрите, как нормальные сайты должны выглядеть и взаимодействовать без нагружености. Особенно когда сайт ничего не умеет, кроме показа текста, а js там используется для анимаций.
> ни ктомолодёжь — как обычно — считает, что деды были глупые и ничего в жизни не понимали. грамотно писать молодёжь не умеет, но всё равно настроение — революционное. жаль, что мозг при этом один на всех, и очень маленький.
> Уже лет 10 веб без js нормально не работает и ни кто
> не учитывает в разработке сайтов маргиналов с отключенным js.А мы сами о себе позаботимся, отключив твое рекламно-шпионское гвонецо, забыв тебя спросить.
Таки анон прав, я тоже, когда впервые поставил матрицу быстро от неё отказался. Весь день настраивал правила для сайтов, а на следующий день все правила были потеряны. Я думал они сохраняются автоматически. А вот со второго захода матрица стала любимым дополнением. А если нужно срочно зайти на какой-то сайт, просто его отключаю.
Если настроить лень. В "my rules" оставь одну строку "* * * allow". Пусть только blacklisted hostnames.
нужно пользоваться опенсорсным банкингом.
> нужно пользоваться опенсорсным банкингом.А есть такие?
биткоин
да, криптовалюты
у биткоина правда конская коммиссия. советую посмотреть на криптовалюты которые не требуют майнинга
Согласен. noscript еще понятен для чего, но umatrix это для пырщавых мазохистов.
> noscriptNoscript был пойман на сливании инфы, в торе он патченый, так что думайте сами.
> Noscript был пойман на сливании инфы, в торе он патченый, так что думайте сами.Там слив - одна фича, определение внешнего айпишника. В настройках отключается, патчить не обязательно. Хотя в торбраузере логично это пропатчить чтобы вообще так не умело. А так NoScript выложен под GPL...
туда им и дорога этим сайтам , криворукие вебмастера их делали или рекламные компании придумали для слежки. У сбербанка и то ссылки ведут к гуглу и яндексу и не только на главной странице, но в личном кабинете
Я пытался выяснить у сбера
что это за идентификатор у меня в личном кабинете и зачем его гуглу передают.> var _gaq = _gaq || [];
> _gaq.push(['_setAccount', 'UA-342xxxxx-x']);И этот _gaq используется в скрипте https://ssl.google-analytics.com/ga.js
После попыток сложилось ощущение что безмозглые.
Но вежливые.
так им из твоих же денег платят — можно и повалять дурака, чо.
> Я пытался выяснить у сбера
> что это за идентификатор у меня в личном кабинете и зачем его
> гуглу передают.Затем, что ты разрешаешь гугль-аналитикс?
затем, что банк передаёт третьей стороне информацию о том, что делают его клиенты. чисто теоретически это вообще противозаконно. хотя, конечно, законы для банков не писаны, особенно для государственных, особенно в рф.
не обнадеживайтесь, в банках "цивилизованных" стран не намного лучше а то и хуже вся инфа сливается напрямую госдепу. начнёте много умничать по такому вопросу вам просто счет по-тихому без лишней суеты заморозят и всё, это в лучшем случае. прецендентов достаточно.
ага. и «яндексу», да? классическое «а у них зато негров линчуют!» go on, it is always fun to watch.
> не обнадеживайтесь, в банках "цивилизованных" стран не намного лучше а то и
> хуже вся инфа сливается напрямую госдепу. начнёте много умничать по такому
> вопросу вам просто счет по-тихому без лишней суеты заморозят и всё,
> это в лучшем случае. прецендентов достаточно.Пользуюсь более нормальным банком. Левака на странице банкинга не замечал. Как и попыток лезть на левые домены. Как максимум на свои субдомены с рекламными спамоакциями.
UA-342xxxxx-x это id вебсайта сбербанка в ГА.Используется для ведения статистики работы их веб сайта в ГА:
какие страницы чаще всего открываются, браузер, язык, страна, город, в какое время и продолжительность и многое другое да оно "обезличено" так как твой IP и ФИО не хранятся и не передаются в буквальном смысле.
Делают HTTP-запрос к скрипту, но IP не передают. Магия!
еще какая! называется NAT.
> еще какая! называется NAT.На хабре почитай какая бывает магия, особенно у операторов, когда потенциально может утечь IMEI мобилы, внутренний айпи за натом, номер телефона, номер симкарты и прочие веселости. Бонусом можно заметить что ты зашел на сайт партнера и подписать тебя на их премиум фоточки с котятами, всего 10 рублей за штучку. Списание со счета дебюильника, по факту просмотра.
угу. банкинг. защита. финансы. *сторонний* *сервис* *статистики* *на* *защищённых* *страницах*. и всё остальное у них тоже так.
Жопо-рук жопо-рук does what ever жопо-рук does
спасибо большое. огромное спасибо. нет, серьёзно: у горхила будет меньше одноклеточных «багрепортов» и «фичреквестов».
> Поставил этот ваш дурной матрикс, половина сайтов превратилась в тыкву, особенно всякие
> банкинги. И каждый раз надо вручную добавлять разрешения и перезагружать страницу.
> Нафиг надо такое счастье, снес к чертям.Отдельный профиль для банкинга не сцкдьба сделать?
>> Поставил этот ваш дурной матрикс, половина сайтов превратилась в тыкву, особенно всякие
>> банкинги. И каждый раз надо вручную добавлять разрешения и перезагружать страницу.
>> Нафиг надо такое счастье, снес к чертям.
> Отдельный профиль для банкинга не сцкдьба сделать?"особенно всякие банкинги" — это тролль, не обращай внимания. В реальности всё наоборот: банки обычно юзают только свои скрипты, и банкинги под umatrix-ом не ломаются, а ломаются всякие блоги, washington post-ы и wall street journal-ы, которые грузят миллион сторонних скриптов для анимированной подгрузки и переключения страниц и фотографий.
> umatrixRequest Policy. uMatrix и uBlock в ручном режиме абсолютно неюзабельны по сравнению с ним
Ты видимо не в курсе, что uM можно использовать ровно как RP? Слева домены дёргаешь, колонки не юзаешь.
т‐с‐с‐с, не пугай страусов.
Пол бетонный?
зачем ты так хочешь нагадить ближнему? Он же тебе даже рекламой глаза не мозолит, майнит себе потихонечку.Если ты смотришь утруп, да не просто ютруп, а нафаршированный рекламой (напоминаю, что вообще-то реклама появляется в роликах не без прямого участия их авторов), то есть совершенно точно маешься дурью (в рабочее время, небось) почему бы и не поделиться с хорошими ребятами немношк процессорных мощностей (работодателя)?
(впрочем, там adwords, она ж не в ролике даже, а вокруг?)
занятно в этой истории, как обычно, другое - реклама в ютрупе платная. То есть, эти ребята - _заплатили_ за удовольствие помайнить на чужих машинках.
> Он же тебе даже рекламой глаза не мозолит,Это ложь. И как после этого продолжать читать остальную простыню?
>_заплатили_Может быть они и паспортные данные оставили?
> Может быть они и паспортные данные оставили?по сути и оставили, адвордс не принимает биткойны.
Другое дело что никто, конечно, не обещал что это их данные, а не стыжженная кредитка ;-)
>[оверквотинг удален]
> не мозолит, майнит себе потихонечку.
> Если ты смотришь утруп, да не просто ютруп, а нафаршированный рекламой (напоминаю,
> что вообще-то реклама появляется в роликах не без прямого участия их
> авторов), то есть совершенно точно маешься дурью (в рабочее время, небось)
> почему бы и не поделиться с хорошими ребятами немношк процессорных мощностей
> (работодателя)?
> (впрочем, там adwords, она ж не в ролике даже, а вокруг?)
> занятно в этой истории, как обычно, другое - реклама в ютрупе платная.
> То есть, эти ребята - _заплатили_ за удовольствие помайнить на чужих
> машинках.То есть ты не против если мы все сейчас будем сливать из твоей машины по литру бензина каждый день вот просто так?
> То есть ты не против если мы все сейчас будем сливать из
> твоей машины по литру бензина каждый день вот просто так?никто ничего не сливает. Ты и так едешь - причем нифига не на работу, а музло тыдымс-тыдымс, одна нога на педали, другая в окошко высунута и т д (и не надо мне тут врать, что рекламу тебе напихали в нужнейший и важнейший ролик "каким надо быть ди6лоидом чтобы купить nginx+"...ой, кажется он не совсем так назывался, но ты меня понял). Горючку жжешь не по детски, полицаям отстегиваешь, права, опять же купил...
А какой-то хер на роликах прицепился к твоему бамперу, и тоже зажигает - ну, конечно, можно понять твое пацанское желание его изловить и дать в грызло (заодно отжав мобилу), но оно малоосуществимо - пока вылезешь, пока пальцы в дверь пропихнешь, этот хмырь уже укатился.
А с точки зрения прохожего - оба вы м..ки.
Легко — надо включать uBlock Origin.
А YouTube прекрасно смотрится через SMPlayer (mpv+youtube-dl).
> (mpv+youtube-dl)А вот так еще лучше:
http://i.piccy.info/i9/7e347261d84bdf5fb6f096afb733a4fd/1517...
Это четвёртые кеды с глобальным меню? Классно выглядит.
# z se -si plasma5S | Name | Type | Version | Arch | Repository
---+--------------------+---------+-----------------------------------------+--------+------------------------
i | plasma5-desktop | package | 5.12.80git.20180125T072053~f47fac90-7.1 | x86_64 | KDE:Unstable:Frameworks
i+ | plasma5-session | package | 5.12.80git.20180124T160058~c3db9255-8.1 | noarch | KDE:Unstable:Frameworks
i+ | plasma5-workspace | package | 5.12.80git.20180124T160058~c3db9255-8.1 | x86_64 | KDE:Unstable:Frameworks
>> (mpv+youtube-dl)
> А вот так еще лучше:
> http://i.piccy.info/i9/7e347261d84bdf5fb6f096afb733a4fd/1517...mpv+youtube-dl умеет не только youtube. Судя по описанию QMPlay2, mpv позволяет более гибко настраивать вывод (например, при использовании VDPAU можно применять фильтры).
> (например, при использовании VDPAU можно применять фильтры).Правда? https://i.imgur.com/SjAVi5B.png
SMPlayer v. 16.11.0 (ревизия 8242)
mpv 0.23.0И в чём разница тогда между SMPlayer и QMPlay2?
> https://i.imgur.com/SjAVi5B.pngНу дык, по сути это две разные морды одного движка
> И в чём разница тогда между SMPlayer и QMPlay2?
В собственных наворотах каждого.
> Ну дык, по сути это две разные морды одного движкаНет.
>> (например, при использовании VDPAU можно применять фильтры).
> Правда? https://i.imgur.com/SjAVi5B.png
> SMPlayer v. 16.11.0 (ревизия 8242)
> mpv 0.23.0Не понял, как ваш скрин от SMPlayer относится к моему комментарию про QMPlay2 vs. mpv.
> И в чём разница тогда между SMPlayer и QMPlay2?
Смотрите сами.
https://github.com/zaps166/QMPlay2
По сути, QMPlay2 - это аналог mpv (не smplayer!) с прибитой гвоздями мордой на Qt.
есть, кстати, хорошая примета: если на скриншоте аниму, и в плейлисте скриншота аниму — БЕГИТЕ.
> Ну как после этого не включать adblock?Никак. Только включать
Можно и не включать.
Просто включать uBlock :)
Уж лучше пусть крипту майнят, чем DDoS устраивают, спам рассылают или трояны для перехвата паролей устанавливают.PS. Пару раз последние дни наталкивался на полную загрузку CPU при открытии роликов на YouTube, думал глюк, так как после перезагрузки страницы проблема решалась.
Одно другому не мешает
есть хоть один сайт с этим coinhive? чтобы зайти и проверить - работает ли ublock или стоит какой то носкрипт поставить
thepiratebay-proxylist.org
ublock noscript must have by default
Носкрипт в любом случае не стоит. uMatrix.
В юблоке есть фильтр на майнеры. Если банально тянется скрипт с сайта coinhive (хотя конкретно эти только как third-party запрещены, при заходе на сам сайт должно работать, т.к. оно вроде спрашивает разрешение майнить) или других известных доменов, то не пройдёт. Если с какого-то нового неизвестного домена или 1st-party, то тут уже только default deny подход типа юматрикса поможет.
Внезапно: NoScript поможет в любом случае.
> Внезапно: NoScript поможет в любом случае.внезапно, не поможет. Если, конечно, вы собираетесь видео на ютубе смотреть, а не что-то еще.
>> Внезапно: NoScript поможет в любом случае.
> внезапно, не поможет. Если, конечно, вы собираетесь видео на ютубе смотреть, а
> не что-то еще.Вообще-то он умеет блокировать скрипты выборочно.
>> Внезапно: NoScript поможет в любом случае.
> внезапно, не поможет. Если, конечно, вы собираетесь видео на ютубе смотреть, а
> не что-то еще.js выключен тотально. утуп смотрю. бесплатнобезрекламыбезсмс. но ты продолжай верить, да. тебе можно.
Doubleclick он на ютубе блочит.
А я и не говорю, что не поможет. Но «в любом случае не стоит». Потому что он кал.
> Потому что он кал.Обоснуй.
Хорошо, что мой ответ в другом месте ещё не исчез. Держи (это не говоря об удобстве).Во-первых, всегда был тормозной.
Во-вторых, мог только в глобальные правила (ковыряние ABE не считаем, это никто не использовал). Т.е. разрешая какой-то домен, он разрешается везде. И постоянные правила, и временные.
В-третьих, он не рулит сетевыми запросами и пропускает XHR. Релевантный случай недавно на форчане был. Хиро добавил в скрипты сайта стучание на малварные домены и проверку ответов, с последующим ломанием вёрстки. Юзеры юматрикса сразу заметили и подняли шум, а юзеры носкрипта периодически приходили со скринами и словами «да не разрешайте эти домены и всё, ничего не ломается», не понимая, что их носкрипт запросы к малварным доменам не заблочил и поэтому ничего не сломалось.
В-четвёртых, он приходит с белым списком. И он не проверяется на актуальность при релизах. От чего были смешные случаи, когда злоумышленник может за копейки купить домен и отняшить большинство юзербазы носкрипта. Алсо яндексовый домен Маоне только недавно убрал из вайтлиста.Есть и плюсы, если быть честным. Там был нужный для тех лет click-to-play. Правда, на хтмл5 видео он криво работал и ломал ютуб, но для флеша и фреймов хорошо работал. Но эта фича перестала быть мне нужной (флеша давно нет), да и когда пользовался это слабо компенсировало остальные минусы.
Но до сих пор люди любят повторять многолетние баззворды: но ведь носкрипт имеет защиту против XSS, Clickjacking и прочих вещей, чего нет в юматриксе! Тут нужно знать, что кликджекинг — блокировка сторонних фреймов, а XSS это такая широкая вещь, что глупо верить в волшебный фильтр, когда ИИ ещё не завезли. Большинство спектров атак идут через скрипты + дыры в браузерах, и если защищаться, то блокировкой скриптов, а не иконами со святыми и xss-фильтром носкрипта.
Не замечал тормозности.Имхо, его надо держать в комплекте с ublock/umatrix. Дублирование, зато случайно что-то лишнее не разрешишь в нескольких разных расширениях. И аго защита от XSS и clickjacking в этом случае к месту.
Белый список, понятно, выносится - так это и с ublock делать надо (unbreak list).
> Во-вторых, мог только в глобальные правилаИ это огромный плюс. Когда в интернете нужно работать, а не онанировать на "безопасность", от детальной системы разграничений в uMatrix нет никакого толка. Какая мне разница, какой там тип ресурсов качается, — javascript, svg или css, — если все три можно использовать для отсылки информации злоумышленнику? Какая разница, с какой из десятков открытых страниц будут отправляться запросы на зайт с троянами?
UI в uMatrix настолько уродлив, что предоставляет пользователю всего два варианта: или тыкать на *каждом* сайте в несколько кнопок (пока рано или поздно не пропустишь "подарочек" в svg-"картинке") или давать перманентные глобальное разрешение на все запросы к сайту/с сайта, — гораздо хуже чем в noscript!
> В-третьих, он не рулит сетевыми запросами и пропускает XHR
Не его работа. Для этого существуют RequestPolicy, uMatrix и другие блокировщики общего назначения.
> юзеры носкрипта периодически приходили со скринами и словами «да не разрешайте эти домены и всё, ничего не ломается»
Какая разница, кто и что там говорил? Если на сайте уже есть троянский код, размещённый самим владельцем сайта, блокировка левых доменов поможет как мёртвому припарка. Захочет — скачает троянский payload со своего собственного CDN с изображениями. Или вообще инлайном, в html, все 100 мегабайт. Его среднестатистический пользователь и не поморшится.
> Есть и плюсы, если быть честным. Там был нужный для тех лет click-to-play.
А он сейчас не нужен? Что-то не наблюдаю в uBlock такой фичи.
> кликджекинг — блокировка сторонних фреймов
Чушь. Clickjacking, занимается разграничением доступа на более высоком уровне, чем встроенный в браузер трекер источника. Если сайту для работы требуется сторонний iframe, его никак не заблокировать через средства разграничения доступа на основе фильтров.
noscript это не замена и не альтернатива uMatrix или hosts-файлу, а последний уровень защиты, когда пользоваться сайтом всё-таки хочется, но позволять выполнять любые скрипты с *любых* источников по прежнему стрёмно. У меня это обычно выглядит так: 1. Клик правой кнопкой 2. Посмотреть на список скриптов 3. "Temporarilly allow all on this page" 4. Повторить пока сайт не заработал или не кончилось терпение.
В uMatrix такого удобного механизма нет и непредвидится, — во первых потому что он фактически заброшен в пользу uBlock (который в свою очередь особо не заточен под ручные разрешения), а во вторых потому что он был скопипащен с HTTP Switchboard — гугловского отладочного инструмента, никак не связанного с безопасностью. В отличии от Gorhill-а, Giorgio Maone хорошо понимает, что единственный способ сделать рабочий механизм безопасности — сделать его как можно проще. И идеологии у этих инструментов разные: когда заходишь на сайт, сломанный из-за noscript, там видно красивый список ссылочек на г*но, которое ему хочется качать. Когда заходишь на сломанный сайт с uMatrix… да фиг его знает, что он там покажет. Не заточены Gorhill-овские поделки на глобальный режим белого списка. И отсутствие суррогатов, вроде noscript-овских заглушек к Google Analytics, и многие другие вещи на это явно указывают.
> И это огромный плюс. Когда в интернете нужно работать, а не онанировать на "безопасность", от детальной системы разграничений в uMatrix нет никакого толка.Вот поэтому и есть толк. Я иногда всё-таки посещаю фейсбук, твиттер, ютуб и всякие гуглосайты. И скрипты фейсбука у меня разрешены только на фейсбуке, больше нигде. А скрипты твиттера — только на страницах твиттера. И так далее. Это настроено один раз давным давно. А как это делать в noscript? Каждый раз "временно" разрешать? Или разрешить все скрипты гугла/фейсбука/твиттера/блогспота/лайвжорнала и т.д. на всех страницах?
> UI в uMatrix настолько уродлив, что предоставляет пользователю всего два варианта: или тыкать на *каждом* сайте в несколько кнопок (пока рано или поздно не пропустишь "подарочек" в svg-"картинке") или давать перманентные глобальное разрешение на все запросы к сайту/с сайта, — гораздо хуже чем в noscript!
О, у него чудесный UI по сравнению с носкриптом. Он позволяет разрешать/запрещать любой ресурс одним кликом! Не двумя, как noscript, а одним, и без релоада страницы. Очень удобно, когда ищешь минимальный необходимый набор скриптов для сайта, на котором собираешься читать больше одной страницы.
> (пока рано или поздно не пропустишь "подарочек" в svg-"картинке")
Кстати, а давайте-ка проверим? Можно ссылочку на такую svg-картинку, которая, допустим, майнит биткоины, а umatrix её пропускает?
> Не двумя, как noscript, а одним, и без релоада страницы.Не понял, а где там нужно два клика?
И отсутствие перезагрузки страницы — сомнительное преимущество. Если на странице разрешена часть скриптов, многие сайты детектируют, что оставшаяся часть не догрузилась, и отображают кастрированный контент или заглушки. Так что их всё равно приходится перезагружать.
> У меня это обычно выглядит так:
> 1. Клик правой кнопкой
> 2. Посмотреть на список скриптов
> 3. "Temporarilly allow all on this page"
> 4. Повторить пока сайт не заработал или не кончилось терпение.Всего пара кликов, классно, правда? Когда нужно разрешить ВСЕ скрипты. А сколько кликов и релоадов страницы нужно в noscript-е, чтобы разрешить все скрипты кроме вон тех двух, которые, я точно знаю, майнят биткоины и делают всякие гадости?
> В uMatrix такого удобного механизма нет и непредвидится
Ну да, в umatrix, чтобы среди N скриптов разрешить все кроме двух, надо N-2 клика и один релоад. А в noscript-е это 2*(N-2) кликов и N-2 релоадов страницы. Очень удобно. А главное, как быстро!
PS: а ещё расскажи, как при включенном носкрипте тебе удалось залогиниться в Jira? ;)
PPS: а юзеров umatrix-а я спрошу как им удалось из Jira вылогиниться? :)
> Ну да, в umatrix, чтобы среди N скриптов разрешить все кроме двух,
> надо N-2 клика и один релоад. А в noscript-е это 2*(N-2)
> кликов и N-2 релоадов страницы. Очень удобно. А главное, как быстро!Один клик в верхную часть столбца "script". Этим мы разрешаем все скрипты, не попадающие в черный список (реклама, малварь и т.д.).
Потом двумя кликами можно запретить ненужное.
Не, ну если кому-то нравится, то можно хоть N^2 делать :)
>> Ну да, в umatrix, чтобы среди N скриптов разрешить все кроме двух,
>> надо N-2 клика и один релоад.
> Один клик в верхную часть столбца "script". Этим мы разрешаем все скрипты,
> не попадающие в черный список (реклама, малварь и т.д.).
> Потом двумя кликами можно запретить ненужное.
> Не, ну если кому-то нравится, то можно хоть N^2 делать :)Имелось ввиду только те N-2, что я вижу, а не вообще все. Но да, под условие "все кроме двух" это подходит. Признаю, в umatrix "все скрипты кроме двух" можно разрешить в три клика и один релоад.
> Всего пара кликов, классно, правда? Когда нужно разрешить ВСЕ скрипты. А сколько
> кликов и релоадов страницы нужно в noscript-е, чтобы разрешить все скрипты
> кроме вон тех двух, которые, я точно знаю, майнят биткоины и
> делают всякие гадости?Один, но не в noscript, а в uBlock. Желательно ещё и накатать кляузу мейнтейнерам списков, чтобы они себе его добавили.
> PS: а ещё расскажи, как при включенном носкрипте тебе удалось залогиниться в
> Jira? ;)Тьфу! Нашёл, что вспомнить на ночь глядя
Какой набор бреда, ужас. Скажи честно, ты не пробовал uM или не разобрался? Хота walkthrough на вики должно хватить не идиоту. https://github.com/gorhill/uMatrix/wiki/Very-bare-walkthroug...> И это огромный плюс. Когда в интернете нужно работать, а не онанировать на "безопасность", от детальной системы разграничений в uMatrix нет никакого толка.
Это огромный минус. Потому что uM может и глобальные правила создавать, как носкрипт, и локальные (на основной домен или на субдомен). Там есть scope, раньше в виде дропдаун-списка, теперь в новом виде. Он даёт свободу и возможности. В отличие от носкрипта.
> Какая мне разница, какой там тип ресурсов качается, — javascript, svg или css, — если все три можно использовать для отсылки информации злоумышленнику?В левой части матрицы строки доменов для чего? Тыкаешь и запрещаешь/разрешаешь всё с домена, на манер Request Policy.
> Какая разница, с какой из десятков открытых страниц будут отправляться запросы на зайт с троянами?На сайт с троянами — никакой. Но есть разные кейсы, и локальные правила очень полезны. Я могу разрешить на одном сайте скрипт/фрейм твитера, чтобы увидеть твиты с пикчами и видео, и не разрешать их больше нигде. Носкрипт такого не позволяет.
> Не его работа. Для этого существуют RequestPolicy, uMatrix и другие блокировщики общего назначения.
Поэтому он и не нужен. uM успешно заменяет и носкрипт, и RP, делая всё удобнее и нагляднее.
> Если на сайте уже есть троянский код, размещённый самим владельцем сайта, блокировка левых доменов поможет как мёртвому припарка. Захочет — скачает троянский payload со своего собственного CDN с изображениями. Или вообще инлайном, в html, все 100 мегабайт. Его среднестатистический пользователь и не поморшится.
Защиту против этого никто не обещает (в том числе NS+RP). Но пока дела таковы, что 98% мусора находится на сторонних доменах и подход юматрикса очень полезен.
> А он сейчас не нужен? Что-то не наблюдаю в uBlock такой фичи.
У тебя есть флеш до сих пор? А хтмл5 клик-ту-плеить носкрипт никогда не мог нормально, ютуб всегда ломался.
> noscript это не замена и не альтернатива uMatrix или hosts-файлу, а последний уровень защиты, когда пользоваться сайтом всё-таки хочется, но позволять выполнять любые скрипты с *любых* источников по прежнему стрёмно. У меня это обычно выглядит так: 1. Клик правой кнопкой 2. Посмотреть на список скриптов 3. "Temporarilly allow all on this page" 4. Повторить пока сайт не заработал или не кончилось терпение.
А теперь расскажи, почему ты не можешь ровно то же сделать в uM? Можешь. И более удобно и наглядно.
> во первых потому что он фактически заброшен в пользу uBlock
Устаревшая информация. Уже как 2 месяца Горхил вернулся к активной разработке uM, объяснив это тем, что сам к его использованию вернулся и заменил юблок. Там сейчас прекрасные изменения, в виде парсинга <носкрипт> тегов и детекта веб-воркеров.
> а во вторых потому что он был скопипащен с HTTP Switchboard — гугловского отладочного инструмента, никак не связанного с безопасностью
Опять мантры какие-то. Ещё как связанного. Он создавал свитчбоард для знакомых на хроме, когда сам пользовался NS+RP на лисе. И при зарождении он по сути был просто юматрицей со статической фильтрацией юблока. Сейчас она успешно заменяет NS+RP, не проигрывая в безопасности, но выигрывая в удобстве и наглядности.
> Giorgio Maone хорошо понимает, что единственный способ сделать рабочий механизм безопасности — сделать его как можно проще.
Ага, и поэтому новый носкрипт ещё хуже стал. И как в твоей картине мира укладывается то, что на сайтах Маоне многие годы в рекламных блоках находится малварь-прога по очищению/ускорению компа? А то, что он 10 лет назад воевал с ABP, грязно выключая его на своих сайтах. Кто же он после этого?
> И идеологии у этих инструментов разные: когда заходишь на сайт, сломанный из-за noscript, там видно красивый список ссылочек на г*но, которое ему хочется качать.
Как раз таки нет. Когда ты заходишь на сайт, ты смотришь и в лист носкрипта (скрипты, шрифты, видео, флеш, фреймы) и в попап RP (обезличенные сетевые запросы). А если ты не держишь RP, то просто теряешь в безопасности.
> Когда заходишь на сломанный сайт с uMatrix… да фиг его знает, что он там покажет.
Он покажет всё в лучшем варианте, который пока придумали. Сходный был только в умеревшем Policeman.
Ты увидишь и список доменов (которыми можешь рулить на уровне RP, не смотря на подробные колонки, если хочешь. Ты увидишь и список скриптов/фреймов. Ты увидишь и пикчи, видео, плагины, будешь наглядно видеть, пикчи тянутся с какого-то домена или XHR шлётся, и сможешь разрешить только конкретные типы, которые хочешь. А если не хочешь типы, рулишь целым доменом.> Не заточены Gorhill-овские поделки на глобальный режим белого списка.
Ты просто его не нашёл, болезный. Переходишь в глобальный скоп (звёздочкой обозначается) и делаешь глобальные правила.
> И отсутствие суррогатов, вроде noscript-овских заглушек к Google Analytics
Они есть в юблоке. Зачем тебе это в носкрипте? И где они в нём сейчас, кстати?
Не стал разбираться - наслушался хвалебных песен, попробовал, вернулся на noscript + RequestPolicy.> Это огромный минус. Потому что uM может и глобальные правила создавать, как носкрипт, и локальные
Все локальные правила у меня в RequestPolicy. Все глобальные в noscript. И тот и другой для соответствующей цели были удобнее, чем uMatrix.
> В левой части матрицы строки доменов для чего? Тыкаешь и запрещаешь/разрешаешь всё с домена, на манер Request Policy.
Чтобы туда ткнуть, панель с матрицей должна сначала отобразиться. Когда я пробовал uMatrix (правда ещё до Quantum), панель дёргалась и прорисовывалась по две секунда после клика. А Gorhill-у, естественно пофиг, т.к. он сам пользуется хромом, — и багрепорт на github с сотнями комментов его не смущает, — "это баг в Firefox", и всё тут.
Для сравнения, контекстное меня noscript и панель RequestPolicy отрисовываются мгновенно, независимо от количества доменов в списке.
> Поэтому он и не нужен. uM успешно заменяет и носкрипт, и RP, делая всё удобнее и нагляднее.
Для меня не заменил. По отдельности, — функциональнее каждого из них, но в целом — был значительно хуже их комбинации. И по юзабельности и по фичам.
> У тебя есть флеш до сих пор? А хтмл5 клик-ту-плеить носкрипт никогда не мог нормально, ютуб всегда ломался.
Ничего не ломается — 1. Клик правой кнопкой 2. Allow all video/* on googlevideo.com. Единственная причина, почему на youtube клик на само видео работает хуже других сайтов — он запрашивает сразу много разных типов видео (H265, Theora etc.), поэтому кликать на отдельные блоки на странице можно и задолбаться. С другими типами ембедов (звук, WebGl) такой проблемы обычно не бывает. Пожалуй, это одно из тех мест, где отсутствие гранулированных правил негативно сказывается больше всего — в последних версиях Giorgio пришлось добавил в белый список по умолчанию все домены youtube.
> А теперь расскажи, почему ты не можешь ровно то же сделать в uM?
Потому что пока гигантская панель uMatrix будет каждый раз рисовать список с новыми скриптами, можно и коньки откинуть.
При этом по завершении процесса у меня остаются заблокированными все домены из чёрного списка RequestPolicy, который я вообще не трогаю большую часть времени. Т.е. в noscript жмёшь "разрешить всё", а другой блокировщик продолжает блокировать рекламу и совсем уж левые домены. Подозреваю, что некоторые для похожих целей комбинируют uMatrix и uBlock, но у меня так не получилось.
> Устаревшая информация. Уже как 2 месяца Горхил вернулся к активной разработке uM, объяснив это тем, что сам к его использованию вернулся и заменил юблок
Ок, не следил особо за его разработкой. Если порт RequestPolicy на web extensions не будет доделан до выхода следующего ESR, попробую uMatrix ешё раз.
> Ага, и поэтому новый носкрипт ещё хуже стал.
Это новый Firefox стал хуже, а WebExt noscript просто пытается сделать всё возможное при помощи г*на и новой груды палок.
> И как в твоей картине мира укладывается то, что на сайтах Маоне многие годы в рекламных блоках находится малварь-прога по очищению/ускорению компа?
Вполне нормально укладывается. Или ты считаешь, что разработчики всех без исключения "чистельщиков Windows" — криминалы, которых нужно срочно посадить? По мне, так пусть лучше часть денег ни черта не соображающих пользователей пойдёт на разработку noscript, чем в пользу бандформирования мэйл.ru и им подобных. А малварь там долго и тщательно искали и не нашли, — обычная удалялка пары ключей в реестре, продаваемая за неадекватные деньги.
> А то, что он 10 лет назад воевал с ABP, грязно выключая его на своих сайтах. Кто же он после этого?
А вот здесь мне его позиция понятна. Почему разработчикам чёрных списков можно использовать свои проекты для личной мести ему, а он должен на это смотреть и послушно кивать головой? Фанатики, населяющие сцену списков по блокировке рекламы, и так с трудом способны поддерживать их в актуальном состоянии. Зато заблокировать сайт Maone, который уже много лет делает с ними одну работу, это святое! Интересная у них расстановка приоритетов.
> Как раз таки нет. Когда ты заходишь на сайт, ты смотришь и в лист носкрипта (скрипты, шрифты, видео, флеш, фреймы) и в попап RP
Чаще чем в половине случаев — только в noscript. RP на многих сайтах не нужен (если нет сторонних источников, или там только реклама и трекинг), либо целевые домены уже в белом списке RP.
> Он покажет всё в лучшем варианте
Я не про попап. Когда заходишь на сайт с noscript, а там — пустой html (например, потому что весь контент грузится и рисуется ангуляром) — noscript отображает список ссылок: https://noscript.net/faq#qa3_17
Мелочь, но приятно.
Внезапно: NoScript поможет в любом случае.
https://lifehacker.com/5917063/five-best-internet-radio-serv...Вот тут странным образом вкладка начинает жрать 30-40% ЦП и под 200МБ памяти
Из-за видео на странице сайта?
https://www.1337x.to/
Надо просто качать видео с ютуба и смотреть локально.
Вам mpv запилили, просто ссылки скармливай
> Вам mpv запилили, просто ссылки скармливайНет kexit crfxf. с помощью youtube-dl и буду смотреть с помощью mplayer. Или xine или любого другого видеоплеера. Не по вкусу мне эта привязка к mpv.
> youtube-dlПочти половину роликов без звука скачивает. Либо вообще не качает.
>> youtube-dl
> Почти половину роликов без звука скачивает. Либо вообще не качает.Вы ... это, иногда обновляйте его, что ли.
Хотя бы раз в полгода. А то гугл в этом плане совсем не отличается от других представителей веббратии: "Месяц без изменений в кишках страницы? Так же нельзя! Ведь все решат, что мы забросили проект и стагнируем!".
> Вы ... это, иногда обновляйте его, что ли.
> Хотя бы раз в полгода.если бы он умел. но он не умеет, и не хочет уметь. а хочет он вопить: «вы мне все должны, а ваш софт нормально не работает!»
Где ссылки брать без захода на сам сайт?
на главной странице mail'а такое уже наблюдал с неделю назад с отдельными баннерами
Так вот для чего WebAssembly нужен, понятно.
и минификаторы
Ютуб как тормозил, так и тормозит. Кажется майнер тут ни при чём.
Иди обнови свой пентиум хотя-бы до i3.
До i3 обновляют tmux...
> До i3 обновляют tmux...До i3 обновляют wmii.
у меня не тормозит, что я делаю не так?(ну да, не только аппаратное ускорение, но и свой ни с чем не совместимый и ни разу не http протокол общения хромого с ютрупом...э...какая такая сетевая нейтральность, совсем уже?)
> у меня не тормозит, что я делаю не так?На более скоростном тарифном плане сидишь.
Поистине тёмные времена настали
>баннеров с кодом для майнинга криптовалюты в сети DoubleClickто есть гугл позволяет запускать чужой код яваскрипт на своих сайтах за деньги? Да это проституцию напоминает.
Можно ведь было просто только картинки и чистый html и svg оставить, причём картинки должны быть в png и пережиматься в jpg на стороне гугла. Но видимо кое-какая компания не хочет терять рынок вредоносоной рекламы и деньги с него.
> просто только картинки и чистый html и svg оставитьЭксперт не в курсе, сколько бяки и эксплоитов можно в svg засунуть? Сколько раз браузеры ломали этим. Это не жпг/пнг/гиф, поди почитай.
>> просто только картинки и чистый html и svg оставить
> Эксперт не в курсе, сколько бяки и эксплоитов можно в svg засунуть?
> Сколько раз браузеры ломали этим. Это не жпг/пнг/гиф, поди почитай.1 Ты думашь через растровую графику браузеры не ломали?
2 Ломали в основном через use-after-free на границе svg-js . Нет js - нет use-after-free.
Ну какбэ jscript можно и в svg засунуть.
Ах, вот почему запрещено аппаратное ускорение видео на Youtube в системах, отличных от Windows - они не поддаются КОНТРОЛЮ со стороны майнеров.
Что за чушь? Вообще аппаратное декодирование в браузерах работает можно сказать на всех популярных системах: Windows, macOS, iOS, Android, ChromeOS, Tizen (Snart TV от самсунгов)...
наверное он неправильно сформулировал мысль, хотел сказать, что ускорение не работает в системах без зондов
Ну тоже неверно.
Хотя, смотря что такое зонды. Если всё зондами кроме этих самых двух ноутбуков от либре как там их, то только разве так...
Firmware для работы аппаратного ускорения видеокарты почти все закрыты. Есть открытые, но только для старых интеловских встроек.
Adguard пока справляется со всеми этими вашими рекламами а заодно и goвноскриптами..
Как смотреть ютуб без скриптов?
> Как смотреть ютуб без скриптов?попробуй глазами.
то же самое цифровое пиратство и воровство интеллектуальной собственности с этим жабомайнингом. можно подавать в суд на сайты которые без письменного согласия пользователя воруют электричество и амортизационные расходы причем делают это умышленного вредоносным методом. в 100% случаев сайты промышляющие этим являются ярыми копирастическими паразитами. Тут же и ответ как их нейтрализовать.
> сайты которые без письменного согласия пользователя воруют электричество и амортизационные расходыТ.е. ты хочешь сказать что воровать фильмы/музыку/игры на торент-трекерах == хорошо, а майнить криптовалюту на твоем железе, пока ты воруешь все вышеозначеное == очень плохо и за это нужно наказывать??
Ну так не воруй, не ходи по "копирастическим паразитам" и не будут у тебя "воровать".
Х3 кто как, а я абсолютно не против если тот-же рутрекер, или кто другой, чьими ресурсами я пользуюсь, смайнит на моем железе пару хешей пока я нахожусь на этом ресурсе.
ИМХО, "электричество и амортизационные расходы" стоят намного меньше чем получаемый контент.ЗЫ
Давайте! Заминусуйте меня к чертям!
Да, "воровать фильмы/музыку/игры на торент-трекерах == хорошо". Благо, поддержкой этих торрент-трекеров на плаву занимаются их админы, а не создатели фильмов/игр/музыки. Вот если бы для воровства музыки с интернета использовался интернет-канал, оплачиваемый композитором этой музыки, у копирайт-троллей было бы гораздо больше оснований для своих претензий.
> Благо, поддержкой этих торрент-трекеров на плаву занимаются их админыТак а я ж о чем! И почему же не дать этому админу заработать на своем железе три копейки =)
Вирусы-репликаторы признаны незаконными. А ведь у них меньше сайд-эффектов
Фига-се "меньше"!Одно дело выполнение кода на просматриваемой странице (и соответственно прекращение выполнения по закрытии страницы), но каким боком сюда черви? О_О
Да, меньше. Вирусы (не путать с червями и локерами) не жрут ресурсы 24/7 и сами по себе не шлют бабло создателю.А по поводу "прекращение выполнения по закрытии страницы" — в том-то и фишка, что не прекращают. Продолжают майнить в WebWorker-ах пока не перезапустишь браузер (или браузер сам прибьёт worker, если он это умеет). А то и после, если хватило глупости дать странице разрешение на получение push-нотификаций.
Да и вообще, с какой стати я обязаны закрывать страницу как можно быстрее? Предлагаете пользователям форумов открывать-закрывать вкладки с ними каждую минуту чтобы майнер поменьше грузил проц?
>воровать фильмы/музыку/игры на торент-трекерах == хорошоВсё оплачено михалковским процентом, но даже без него была бы другая статья.
> в суд на сайты которые без письменного согласия пользователяТак это - зайдя на сайт ты дал согласие на все. :)
Без команды с твоего компьютера они ничего тебе не присылают. :)
Я просто оставлю это здесь, надеюсь кому-нибудь поможет.https://github.com/hoshsadiq/adblock-nocoin-list
Ну или NoCoin на https://filterlists.com
Или
https://raw.githubusercontent.com/ZeroDot1/CoinBlockerLists/...
