Чтобы сделать расширение достаточно минимальных знаний Javasctipt, HTML и CSS. Давайте добавим на хабр догрузку следующей страницы, а также систематическую проверку новых постов на текущей. Примерно как на twitter.
Полностью готовый экстеншн можно установить и проверить в работе через Chrome Web Store, а здесь разберемся как написать основной код с нуля (полный занимает всего 6 KB).
Сегодня пятница и это отличный повод немного улучшить жизнь хабрасообществу. Предлагаю ознакомиться с плагином, который поможет вам быстро просмотреть лучшие топики, перейти к основным разделам и узнать, на каком небе вы находитесь.
Скрин для заманухи:
О том, как Chrome мешает мне искать XSS-уязвимости.
Как и многие из вас, я делаю Code Review и первое, что ищу это конечно уязвимости. Когда уязвимость найдена в коде, хорошо бы проверить есть ли она на самом деле через браузер, потому что бывают «ложные тревоги». Это те случаи, когда данные уже приходят фильтрованными и XSS невозможен. Всегда полезно иметь возможность показать разработчику атаку в действии, потому что это хороший аргумент и помогает быстрее перейти к конструктивному решению проблемы, если есть сомнения, что уязвимость таки существует. Но проверку в браузере я делаю не часто — либо проблема очевидна прямо из кода, либо верят на слово. В общем искать уязвимости — это интересно.
Друг скинул ссылки на сайт, который ещё год назад имел XSS-уязвимость, о чем я писал владельцам ресурса. Стало интересно проверить снова. Проверил — XSS есть, но вот простейшего подтверждения выполнения JS я получить не смог!..
Я не ломаю сайты и не занимаюсь аудитом безопасности, поэтому возможно то, что я выяснил давно известно для специалистов, но для меня это было открытием.
Итак, стал проверять всевозможные варианты внедрения кода — но без результата. По ходу дела выяснил что и как фильтруется, какие есть проверки и прочее, но alert(1); упорно не выполнялся. По ходу дела нашелся ещё и XSRF — приятный бонус!
Читать полностью »
Компания Google раскрыла некоторые подробности, как осуществляется тестирование браузера Chrome на уязвимости. Для этого они применяют метод фаззинга (fuzz testing), то есть используют методику тестирования, при которой на вход программы подаются невалидные, непредусмотренные или случайные данные.
Идея заключается в том, чтобы протестировать максимально возможное количество вариантов. Естественно, для этого нужны серьёзные ресурсы. Для тестирования Chrome создан целый кластер серверов ClusterFuzz, состоящий из нескольких сотен виртуальных машин.
Читать полностью »
В последнее время для меня большим вдохновением является SVG-анимация. С её момощью можно делать из простых элементов впечатляющие вещи. Например, сегодня я закончил делать демку про машинки и с радостью написал об этом себе в блог.
Нарушать правила хабра мне бы не хотелось, поэтому напишу пару слов о процессе. В спецификации SVG есть раздел про анимацию, в котором здорово описано как должны клиенты (например, браузеры) выполнять анимацию. В теории получается очень красиво, но пока не попробуешь сделать что-то своими руками — не поймешь.
Читать полностью »
Чем дальше в лес, тем толще партизаны. Нет, не так. Чем старше веб, тем больше джаваскрипта
Клиентского кода в веб-приложениях с каждым годом действительно становится все больше. Подчас это десятки файлов с сотнями функций. И что делать, когда нам нужно поменять код, выполняемый по событию (например, клик по ссылке). Как его найти? Задавшись решением этой задачи, я придумал несколько разных вариантов. Каждый из них имеет свои плюсы и минусы. И в конце статьи я предлагаю метод, который мне кажется оптимальным.
Читать полностью »
Речь пойдет не о Линуксе даже, и не о вирусах как таковых, а о плохих людях.
Открываю сегодня утром ВКонтактик в Chrome, открытым в линуксахзапущенным, и тут мне через каждую секунду в левый нижний угол (прям как новое личное сообщение) начинает падать одно и то же сообщение от некой «Администрации Гугл.ру» с «просьбой» обновить мой браузер:
Читать полностью »
Речь пойдет не о Линуксе даже, и не о вирусах как таковых, а о плохих людях.
Открываю сегодня утром ВКонтактик в Chrome, и тут мне через каждую секунду в левый нижний угол (прям как новое личное сообщение) начинает падать одно и то же сообщение от некой «Администрации Гугл.ру» с «просьбой» обновить мой браузер:
Читать полностью »
Речь пойдет не о Линуксе даже, и не о вирусах как таковых, а о плохих людях.
Открываю сегодня утром ВКонтактик в Chrome, и тут мне через каждую секунду в левый нижний угол (прям как новое личное сообщение) начинает падать одно и то же сообщение от некой «Администрации Гугл.ру» с «просьбой» обновить мой браузер:
Читать полностью »