Не надо зацикливаться на веб-векторах, которые в современном мире не представляют массовой угрозы (речь конкретно о Shellshock). Есть и другие, более актуальные и опасные варианты эксплуатации уязвимости.
Clickjacking — не единственная угроза. Несколько лет назад писал статью на эту тему — «Получение информации о пользователях» (https://forum.antichat.ru/showthread.php?t=352133). Большинство примеров уже не работают, но теоретическая часть сейчас не менее актуальна, чем раньше.
Считать ритм сердца труда не составит. Взлом алгоритма генерации ключа на основе ритма — вопрос времени.
Незаметно прижался в метро к человеку специальным девайсом — получил доступ ко всему, что у него есть.
Вы все пытаетесь уйти от темы и подменить понятия. Или реально не понимаете разницы между получением информации и ее созданием?
Насчет картинок в браузере читайте часть 4 Гражданского Кодекса и вышеупомянутый ФЗ «Об информации, информационных технологиях и о защите информации»
На черном рынке найдется все, в том числе зеленый сертификат, были бы деньги.
Certificate pinning — общее понятие, стандарта нет. Поэтому в зависимости от реализации может пропускать некоторые нежелательные сертификаты.
Я не санкционирую системные драйвера, а они выполняются. Это все код, ничем принципиально не отличающийся от кода руткитов. Среда исполнения та же и привилегии те же.
Текст менять не стал, он ничем принципиально не отличается от вашего. Хабр тот же и привилегии те же.
Программа получена пользователем легально. Запуск программы инициируется пользователем (пусть даже без его ведома) при открытии страницы, а не разработчиком. Соответственно информацию создает пользователь, с помощью программы, на использование которой он имел право.
Имеет ли право разработчик получать результат работы программы без явного согласия пользователя на это?
Может ли вообще быть легально использование чужого имущества в корыстных целях без разрешения владельца?
Конечно студенты ничего не нарушали. Они придумали и реализовали отличный виджет.
Но опять же, желтая пресса умеет вырывать слова из контекста. Могли связать написание кода и суд, пропустив важные промежуточные детали этого дела.
На хабре так принято — понимать, о чем была речь, но все равно пытаться докопаться до каждого слова и создавать спор на ровном месте? Ведь очевидные вещи — что такое хорошо, а что такое плохо.
Оговорка «простыми словами» в начале предложения не просто так. Более подробную формулировку можно расширять до бесконечности.
Если майнинг необходим для финансирования, можно прописать в правила, а не заниматься этим скрыто. Кому-то может быть необходима рассылка спама с вашего ящика через скрытый фрейм и XSS на почтовом сервере, но вы же понимаете, что это плохо.
На хабре все написано в пользовательском соглашении, что куда отправляется и какие сторонние скрипты используются для аналитики. Насчет ferra.ru думаю, что можно подать в суд, если сможете обосновать ущерб, причиненный сторонними виджетами.
Признаю, с нарушением работы ЭВМ ошибся, поскольку примерно в те годы изменил сферу деятельности.
Принадлежит ли пользователю информация, сгенерированная с использованием ресурсов его компьютера, вопрос спорный. Принадлежность информации, кстати, вообще не фигурирует в этой статье, а только ее несанкционированное копирование. Судебная практика показывает, что даже рассылка смс-спама может оказаться «несанкционированным копированием информации» на телефон пользователя…
Показывать анимацию и обрабатывать JS — это прямое предназначение браузера. Если тормозит анимация, виной могут быть недочеты реализации обработки этой анимации в браузере. Но к JS-коду разработчик браузера отношения не имеет. Так же, как разработчик компилятора не отвечает за компилируемый с помощью него код.
Скриптовая анимация — тема отдельная. Как я уже писал выше, за нее как и за JS отвечает тот, кто ее написал.
Кривые ресурсоемкие баннеры не ставят целью нарушение работы компьтера. Если баннер будет скрыто майнить биткоины, это незаконно.
Простыми словами, нельзя делать того, что юзер не знает. На всех нормальных сайтах есть пользовательское соглашение. habrahabr.ru/info/agreement/ — обратите внимание на пункт «Конфиденциальность»:
«При использовании Пользователями Хабрахабра на страницах Хабрахабра могут присутствовать коды Интернет-ресурсов третьих лиц, в результате чего такие третьи лица получают данные, указанные выше.»
Несанкционированное использование ресурсов компьютера в своих целях — явный признак вредоносного ПО. Вы же не будете спорить с тем, что троян на компьютере, который майнит биткоины — вредоносный софт. Почему тогда вызывает сомнения аналогичный JS-код?
Вряд ли имелась ввиду серверная часть. Если JS отправляет куда-то данные, с точки зрения закона не имеет значения, как эти данные дальше обрабатываются. То есть, если мой троян будет слать ваши пароли на несуществующий домен, с меня это ответственности не снимет.
Думаю, что проблема в другом. Раньше только обфускация мешала нормально читать код, но сейчас программа может быть написана на C, Java и других языках, а потом скомпилирована в JS. Соответственно, исходный код и тот код, который выполняется в браузере — не обязательно одно и то же.
Незаметно прижался в метро к человеку специальным девайсом — получил доступ ко всему, что у него есть.
Насчет картинок в браузере читайте часть 4 Гражданского Кодекса и вышеупомянутый ФЗ «Об информации, информационных технологиях и о защите информации»
И это прописано в условиях использования программы. Куда не в ту сторону ушли.
Certificate pinning — общее понятие, стандарта нет. Поэтому в зависимости от реализации может пропускать некоторые нежелательные сертификаты.
Текст менять не стал, он ничем принципиально не отличается от вашего. Хабр тот же и привилегии те же.
Имеет ли право разработчик получать результат работы программы без явного согласия пользователя на это?
Может ли вообще быть легально использование чужого имущества в корыстных целях без разрешения владельца?
Но опять же, желтая пресса умеет вырывать слова из контекста. Могли связать написание кода и суд, пропустив важные промежуточные детали этого дела.
p.s.: qw1, к вам не относится.
Если майнинг необходим для финансирования, можно прописать в правила, а не заниматься этим скрыто. Кому-то может быть необходима рассылка спама с вашего ящика через скрытый фрейм и XSS на почтовом сервере, но вы же понимаете, что это плохо.
На хабре все написано в пользовательском соглашении, что куда отправляется и какие сторонние скрипты используются для аналитики. Насчет ferra.ru думаю, что можно подать в суд, если сможете обосновать ущерб, причиненный сторонними виджетами.
Принадлежит ли пользователю информация, сгенерированная с использованием ресурсов его компьютера, вопрос спорный. Принадлежность информации, кстати, вообще не фигурирует в этой статье, а только ее несанкционированное копирование. Судебная практика показывает, что даже рассылка смс-спама может оказаться «несанкционированным копированием информации» на телефон пользователя…
habrahabr.ru/post/237755/?reply_to=7993553#comment_7993391
«Если баннер будет скрыто майнить биткоины, это незаконно.»
Скриптовая анимация — тема отдельная. Как я уже писал выше, за нее как и за JS отвечает тот, кто ее написал.
Простыми словами, нельзя делать того, что юзер не знает. На всех нормальных сайтах есть пользовательское соглашение.
habrahabr.ru/info/agreement/ — обратите внимание на пункт «Конфиденциальность»:
«При использовании Пользователями Хабрахабра на страницах Хабрахабра могут присутствовать коды Интернет-ресурсов третьих лиц, в результате чего такие третьи лица получают данные, указанные выше.»
Думаю, что проблема в другом. Раньше только обфускация мешала нормально читать код, но сейчас программа может быть написана на C, Java и других языках, а потом скомпилирована в JS. Соответственно, исходный код и тот код, который выполняется в браузере — не обязательно одно и то же.