1

Я хочу запустить отдельную учетную запись администратора на моем компьютере с отключенным Javascript, чтобы повысить безопасность.

Часто отключение JavaScript предлагается как то, что блокирует недавнюю 0-дневную уязвимость. HTML уже поддерживает чтение страниц текста; это не только функция JavaScript.

Однако support.microsoft.com отказывается показывать содержание текстовых статей, когда JavaScript отключен.

Я могу использовать кеш Google ("кэшированная" ссылка в результатах поиска), но это очень утомительно. Неужели нет возможности просмотреть статьи поддержки Microsoft, не включив Javascript для любой открытой веб-страницы?

|источник

1 ответ1

1

Просто бросить стильный или блокировщик контента на страницу будет недостаточно, потому что данных там нет ; Вы можете убедиться в этом, выполнив поиск по источнику страницы по слову, которое должно быть включено в страницу. Сценарий страницы извлекает части страницы из разных источников (да, это снижает производительность), а содержимое статьи специально выбирается из https://support.microsoft.com/api/content/Asset/<id> .

Отказ от ответственности: я не эксперт по безопасности или где-либо близко. Кроме того, разные пользователи нуждаются в разных уровнях безопасности. То, что я не говорю, что что-то опасно, не означает, что это достаточно безопасно для вас. Я не могу заменить платного консультанта. Не забывайте другие линии защиты, такие как виртуальная машина, если ваша ситуация оправдывает это.

Я могу думать о следующих вариантах:

  • Включить JavaScript для этого конкретного домена. Хотя это не так безопасно, как полный блок, белый список домена все же безопаснее, чем включение JavaScript везде, так как любой вектор атаки должен проходить через белый список домена. Не забудьте только включить URL-адреса HTTPS в белый список.

  • Замените страницу JavaScript своим собственным аддоном, usercript или букмарклетом. Пользовательские скрипты могут работать, даже если JavaScript отключен надстройкой, хотя ваш пробег может отличаться. Пользовательского сценария, который берет Angular-фреймворк из локального (кешируемого) источника и запускает его для содержимого страницы, может быть достаточно, но я не могу дать однозначного обещания по этому поводу.

    Остерегайтесь безопасности, хотя. Установка сценария пользователя из локального источника предотвращает автоматическое обновление, поэтому используйте его. Хуже всего то, что если вы не пишете сценарий самостоятельно или не проверяете исходный код, вам придется доверять автору сценария, и пользовательские скрипты имеют несколько более высокие привилегии, чем JavaScript страницы, и аддоны браузера еще более мощные, и вы даже не доверяйте собственному JavaScript страницы.

  • Используйте внешний сервис для просмотра страницы - но любая альтернатива кешу Google, вероятно, будет еще менее удобной в использовании, если вам не удастся найти зеркало справки Microsoft специально.
  • Получите прямой доступ к конечной точке API. Утомительно, но безопасно. Я не рекомендую эту опцию, но она все еще существует.
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .