Джаваскрипт в сомнительных кусках должен быть заведомо выключен. Это же вроде самое базовое фильтрование сомнительных кусков. Почему бы ему расширять площадь атаки - непонятно. Или уж если очень захотеть его включать, то пусть у каждого куска будет свой виртуальный документ, и кусок сможет менять только его. Вроде для фреймов сейчас точно так же сделано.
Путаница пользователей - это фигня. Вот невозможность весни несколько параллельных пользователей в разных окнах - это проблема. Приходится использовать разные браузеры для разных пользователей.
> Заметим, нужно не только изолировать страницу от "сомнительного контекста", но и изолировать сомнительный контекст от страницы
Это отдельный вопрос, и изоляция в эту сторону уже есть. Ну, там есть свои проблемы, но они заключаются главным образом в подстановке: показываем настоящую страницу, а через небольшое время заменяем ее на ненастоящую.
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
timeasmymeasure
no subject
Date: 2014-12-15 11:44 pm (UTC)Путаница пользователей - это фигня. Вот невозможность весни несколько параллельных пользователей в разных окнах - это проблема. Приходится использовать разные браузеры для разных пользователей.
> Заметим, нужно не только изолировать страницу от "сомнительного контекста", но и изолировать сомнительный контекст от страницы
Это отдельный вопрос, и изоляция в эту сторону уже есть. Ну, там есть свои проблемы, но они заключаются главным образом в подстановке: показываем настоящую страницу, а через небольшое время заменяем ее на ненастоящую.