А сегодня увидел там разрешение для Яндекс.Почты (!!!). Жаль, что не догадался сфотографировать, а сразу грохнул. Для Ютуба я ещё понимаю, откуда, но очень слабо. В сообщениях есть ютубовский виджет, взаимодействие с которым приводит к выписыванию разрешений (как именно?). Но у Я.Почты-то откуда? Последний ФФ.
Re: Откуда у сайтов берутся разрешения на cross-site cookies?
Здравствуйте, Alekzander, Вы писали:
A>А сегодня увидел там разрешение для Яндекс.Почты (!!!). Жаль, что не догадался сфотографировать, а сразу грохнул. Для Ютуба я ещё понимаю, откуда, но очень слабо. В сообщениях есть ютубовский виджет, взаимодействие с которым приводит к выписыванию разрешений (как именно?). Но у Я.Почты-то откуда? Последний ФФ.
Насколько я помню, кто куку ставит, тот и выписывает права.
Но если учесть, что каждая страничка подкачивает кучу совершенно чужого JS, и никто вообще толком не знает, что этот JS делает...
Re[2]: Откуда у сайтов берутся разрешения на cross-site cookies?
Здравствуйте, Pzz, Вы писали:
A>>А сегодня увидел там разрешение для Яндекс.Почты (!!!). Жаль, что не догадался сфотографировать, а сразу грохнул. Для Ютуба я ещё понимаю, откуда, но очень слабо. В сообщениях есть ютубовский виджет, взаимодействие с которым приводит к выписыванию разрешений (как именно?). Но у Я.Почты-то откуда? Последний ФФ.
Pzz>Насколько я помню, кто куку ставит, тот и выписывает права.
Если бы сайты могли сами себе выписывать права на кроссайтность кук, в чём был бы смысл этой настройки?
Pzz>Но если учесть, что каждая страничка подкачивает кучу совершенно чужого JS, и никто вообще толком не знает, что этот JS делает...
Здравствуйте, Alekzander, Вы писали:
Pzz>>Насколько я помню, кто куку ставит, тот и выписывает права.
A>Если бы сайты могли сами себе выписывать права на кроссайтность кук, в чём был бы смысл этой настройки?
Нарушает стандарт в сторону более плотного закручивания гаек, но некоторые сайты могут сломаться, о чем честно предупреждают.
Re[4]: Откуда у сайтов берутся разрешения на cross-site cookies?
Здравствуйте, Pzz, Вы писали:
Pzz>>>Насколько я помню, кто куку ставит, тот и выписывает права.
A>>Если бы сайты могли сами себе выписывать права на кроссайтность кук, в чём был бы смысл этой настройки?
Pzz>Нарушает стандарт в сторону более плотного закручивания гаек, но некоторые сайты могут сломаться, о чем честно предупреждают.
Хорошо, а если гайки были плотно закручены (см. скриншот), то как у Яндекс.Почты пупок раскрутился? Хорошо, конечно, что браузер показывает, что у сайта настройки оверрайдятся, но кто и когда их оверрайдит? Моя ночная личность?
Re: Откуда у сайтов берутся разрешения на cross-site cookies?
Здравствуйте, Alekzander, Вы писали: A>А сегодня увидел там разрешение для Яндекс.Почты (!!!). Жаль, что не догадался сфотографировать, а сразу грохнул. Для Ютуба я ещё понимаю, откуда, но очень слабо. В сообщениях есть ютубовский виджет, взаимодействие с которым приводит к выписыванию разрешений (как именно?). Но у Я.Почты-то откуда? Последний ФФ.
1. Я бы нажал на learn more. Это бы хотя бы показало, про какую часть спеки сообщает этот диалог.
2. Если я правильно понял, то на сайте есть какой-то код, который обращается к ютубу и яндекс почте, указывая withCredentials.
На обратной стороне стоит соответствующий API, который согласен принимать куки от нас.
И новый FF теперь ещё и предупреждает пользователя — дескать, rsdn.org твоей сессией делится с third-party, ты Ок насчёт этого?
В хроме дев-консоль показывает такое:
Уйдемте отсюда, Румата! У вас слишком богатые погреба.