Комментарий #12722689
Ответы
Я очень рад данному выражению, однако мой аргумент всё ещё в силе. Фраза "Нет, этот скрипт не безопасный" пребполагает найденную уязвимость либо ложь разработчиков. В случае, если Вы хотите написать предложение об отключении автообновлений, стоит использовать другие слова.Если у Вас отсутствует замок на задней двери, можно ли считать Ваш дом безопасным для проживания? А если перед заселением Вам не говорят, что замка на задней двери нет, хотели бы Вы знать об этом?
Открытый исходный код для того и делается, чтобы пользователи могли проверить всё сами. А начинать говорить про присутствие небезопасных элементов в скрипте, как про факт просто неверно. Риски предоставляет практически любое програмное обеспечение и скачанный контент. Опен сорс существует для того, чтобы пользователь проверил программу, и сам решил, будет ли он обновлять её или нет и как он будет это делать.никак не связаны с проблемами и рисками, которым подвергает пользователей Ваш скрипт.
Выносить подобные статичные вещи на сторонний ресурс - обычное дело. Если пользователь захотел отключить автообновления, значит он может разобраться и с созданием собственного Gist (или подобного хостинга), который будет содержать код. Если размышлять мерками инжекта вредоносного кода, не имеет значения, куда его добавлять, так как автообновления у пользователя всё равно включены.2. Встроить шаблон страницы в скрипт (со стороны разработчика)
Множество программ, сайтов и скриптов обращается в интернет, чтобы достать определённые данные. Не все из них идут по "самодостаточному" пути, имея внутри абсолютно все необходимые для работы данные. Тем более, способ полностью себя обезопасить ярко выражен в переменной TEMPLATE_URL.
Да, однако несвязанные вещи принято разделять. В нашем случае это не .exe файл в папке, который рядом с собой может разместить подобные вещи. Здесь приходится работать с одним файлом. Поэтому, часть кода, как например шаблон, выносится. Подобные вещи встречаются в любом проекте. Мы, как разработчики пошли по такому пути, видя как сильно увеличивается размер нашего скрипта.Кодовая база из шаблона и скрипта больше не станет, если Вы просто соедините их воедино.
Поэтому прошу выбирать слова получше, чем те, что можно принять за безосновательное обвинение в небезопасности.
В качестве реакции на предложение суть тезиса будет перенесена в вкладку "Безопасность".
Тем не менее, предложение о минимизации HTML шаблона действительно занятное. Если итоговый результат не будет в половину самого скрипта, возможно, данный подход будет реализован.
Тебя попросили показать что скрипт является вредоносным, ты такой, ну к него нет «замка» = опасный скрипт (кстати замок есть, как минимум 2fa на github). Это не так работает, ты просто ушел от ответа.
Начет следующего твоего тезиса, ты буквально говоришь - эти разработчики недобросовестные и хотят украсть у вас данные, а где доказательство, его нет, т.к скрипт не вредоносен, опасного кода в нем нет.
Ресурсы которые используются подконтрольны разработчику, так что до тех пор пока разработчик(Я, доступ к возможности обновить только у меня), не захочу этого сделать, это не произойдет.
И того ты:
Подменил понятия, провел ложную аналогию, и оклеветал
Твой комментарий
Если у Вас отсутствует замок на задней двери, можно ли считать Ваш дом безопасным для проживания? А если перед заселением Вам не говорят, что замка на задней двери нет, хотели бы Вы знать об этом?
Именно так, в первую очередь. Поэтому пользователи и потенциальные пользователи Вашего скрипта имеют право знать все риски установки скрипта. И именно поэтому не очень технически подкованные пользователи после прочтения разделов "Частые вопросы" и "Безопасность" могут неверно истолковать ответ "Да" на вопрос "Это безопасно?", при этом "Открытый исходный код" и "Отсутствие слежки и сбора данных" никак не связаны с проблемами и рисками, которым подвергает пользователей Ваш скрипт.
Чтобы сделать его разово "безопасным", описаны два простых шага:
1. Отключить автообновления скрипта (со стороны пользователя)
2. Встроить шаблон страницы в скрипт (со стороны разработчика)
Проблема распространения, обновления и Вашего личного удобства разработки выходят за рамки безопасности пользователей и их волновать не должны.
Доверие к любому разработчику, которого не знаешь, по умолчанию равно нулю и это нормально. Но благодаря JavaScript и менеджерам Userscripts пользователи могут посмотреть код и обезопасить себя даже в тем случаях, когда они не доверяют разработчику, если код скрипта автономен и самодостаточен. И вместо того, чтобы признать проблему и встроить шаблон из GitHub в тело скрипта для повышения доверия к Вам, как к разработчику, Вы начинаете оправдывать дыру в безопасности личным удобством разработки, подвергая риску пользователей. Это очень плохой звоночек.
Кодовая база из шаблона и скрипта больше не станет, если Вы просто соедините их воедино. Технических ограничений для этого у Вас никаких нет, как и у Tampermonkey, как и у Greasy Fork. При необходимости вы можете минимизировать шаблон.
@Commenop,@Azerbakanes