Příklad 1: Globální nastavení povoleno
Pokud chci používat prvky UI, musím zapnout javascript globálně (protože neexistuje zóna Opera). To ovšem znamená, že pokud stránkám javascript povolit nechci (a pro to jsou jasné bezpečnostní důvody - stačí se podívat do Secunie na procento děr, které sice třeba nejsou přímo chybami javascriptu, ale javascript pro svoji funkčnost potřebují), tak musím stránku po stránce vyplňovat Site preferences na "javascript nepovolen". Tzn. jde o typický blacklist, navíc naprosto nerealizovatelný (i když zakážu skript na stránce distribuce-malware.cz, její autor do ní může vložit IFRAME vedoucí kamkoliv jinam a ten javascript spustit v něm).
Příklad 2: Vázanost prvků UI na skripty stránky
Tohle je možná ještě větší průšvih: To, že Opera spouští všechny UI prvky v kontextu aktuálně nahrané stránky, znamená, že prvky prohlížeče a prvky stránky fungují souběžně. Když povolím UI, povolím současně skripty stránky. Když zakážu skriptování stránce, zakážu ho i UI. Otázka zní, jak v takovéhle situaci použít UI prvek na nebezpečné stránce. (Znám berličku, kterou to udělat jde, přes NoScript [existuje i pro Operu, jako UserJS], ale to je přesně ten pochybný přístup, o kterém už jsem psal a ostatně tady o něm píšu taky - pokud chci aktivní UserJS, musím napřed globálně zapnout JS...).
Názor k článku
Opera 10.0: novinky na všech frontách
