アカウント名:
パスワード:
無限にダイアログを表示してタブやウインドウを閉じさせないやつも止めて欲しい
そういうのはもうやってる。単純なものは阻止できるが阻止されないように複雑な手順を踏んでいるものについては阻止できない。
>阻止できない。
なぜ?JavascriptのAlert()とかがOSというかウィンドウマネージャーのネイティブなモーダルダイアログを開く実装になってるから自分のタブの外にまで影響が出る訳でしょ?つまりサンドボックス化が不十分。
そりゃ直したら従来の挙動と非互換になるかもしれないけどさ。
Edgeのalert()はOSレベルではモードレスダイアログだよ。Chromeは知らんけど。
ていうか今どきOSレベルのalertをそのまま使ってるブラウザーなんかあるの?
chromeだと二回以上alertしたら二回目以降は「黙らせる」ってチェックボックスが表示されてるしな。・・・と思って「about:blank」上で「javascript:eval(prompt('','')),0」のブックマークレットから「for(;;){alert(1)}」を実行したら酷いことになった。何度か閉じてもチェックボックスが出ず、タブをウィンドウ分離した上でウィンドウ閉じたら同プロセス他タブが応答無くなって死んだ。プロセス殺してタブリロードは出来たけど・・・・・・え、何これ?「data:text/html,<script>for(var i=0;i<10;i++){alert(i)}</script>」とかでも出ない・・・廃止された?Ctrl+TabとかAlt+Tabとか別タブクリックするとイ
バグの再現ページを作って、ヘルプフォームじゃなくて脆弱性として報告グーグルに報告すると同時にマスコミに宣伝する。「大昔に無効化された無限alertが再び有効になっていた」とかキャッチーな煽り付ければ掲載されるメディアもあるだろ。
alert連続で出すだけだし多分だけどクライアント側の環境依存なんじゃないかな・・・調べてくと1年以上前からちらほら報告があるっぽい。いずれも未解決のまま立ち消えてるっぽいし、条件を満たしてても後から条件から外れる事があると見える。条件を正確に特定して意図的に発生させられれば何とかなるんだろうけどねぇ・・・
ソースから原因探すにしても、ビルド環境構築するだけでIDE入れーのKBを順番通り入れーので糞面倒くさいのをさわりたくないし・・・と思ったらビルド環境の構築だけは簡単になって・・・いるらしいけど自動化しただけでやっぱごちゃってるっぽいしやっぱヤだ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
モーダルダイアログ (スコア:0)
無限にダイアログを表示してタブやウインドウを閉じさせないやつも止めて欲しい
Re:モーダルダイアログ (スコア:1)
Re: (スコア:0)
そういうのはもうやってる。単純なものは阻止できるが阻止されないように複雑な手順を踏んでいるものについては阻止できない。
Re: (スコア:0)
>阻止できない。
なぜ?JavascriptのAlert()とかがOSというかウィンドウマネージャーのネイティブなモーダルダイアログを開く実装になってるから自分のタブの外にまで影響が出る訳でしょ?つまりサンドボックス化が不十分。
そりゃ直したら従来の挙動と非互換になるかもしれないけどさ。
Re: (スコア:0)
Edgeのalert()はOSレベルではモードレスダイアログだよ。Chromeは知らんけど。
Re: (スコア:0)
ていうか今どきOSレベルのalertをそのまま使ってるブラウザーなんかあるの?
Re: (スコア:0)
chromeだと二回以上alertしたら二回目以降は「黙らせる」ってチェックボックスが表示されてるしな。
・・・と思って「about:blank」上で「javascript:eval(prompt('','')),0」のブックマークレットから「for(;;){alert(1)}」を実行したら酷いことになった。
何度か閉じてもチェックボックスが出ず、タブをウィンドウ分離した上でウィンドウ閉じたら同プロセス他タブが応答無くなって死んだ。
プロセス殺してタブリロードは出来たけど・・・・・・え、何これ?
「data:text/html,<script>for(var i=0;i<10;i++){alert(i)}</script>」とかでも出ない・・・廃止された?
Ctrl+TabとかAlt+Tabとか別タブクリックするとイ
Re: (スコア:0)
バグの再現ページを作って、ヘルプフォームじゃなくて脆弱性として報告
グーグルに報告すると同時にマスコミに宣伝する。
「大昔に無効化された無限alertが再び有効になっていた」とかキャッチーな煽り付ければ掲載されるメディアもあるだろ。
Re: (スコア:0)
alert連続で出すだけだし多分だけどクライアント側の環境依存なんじゃないかな・・・調べてくと1年以上前からちらほら報告があるっぽい。
いずれも未解決のまま立ち消えてるっぽいし、条件を満たしてても後から条件から外れる事があると見える。
条件を正確に特定して意図的に発生させられれば何とかなるんだろうけどねぇ・・・
ソースから原因探すにしても、ビルド環境構築するだけでIDE入れーのKBを順番通り入れーので糞面倒くさいのをさわりたくないし
・・・と思ったらビルド環境の構築だけは簡単になって・・・いるらしいけど自動化しただけでやっぱごちゃってるっぽいしやっぱヤだ