Como leio o texto dos artigos em support.microsoft.com sem habilitar o javascript?

1

Eu quero executar uma conta de administrador separada no meu computador com o Javascript desabilitado, para aumentar a segurança.

Muitas vezes, a desativação do javascript é sugerida como algo que bloqueia uma vulnerabilidade recente de 0 dia. HTML suporta a leitura de páginas de texto já; este não é um recurso somente de javascript.

No entanto, o support.microsoft.com se recusa a mostrar o conteúdo de artigos de texto quando o javascript está desabilitado.

Eu posso usar o cache do Google ("cache" nos resultados da pesquisa), mas isso é muito entediante. Não há realmente nenhuma maneira de ver os artigos de suporte da Microsoft, sem habilitar o Javascript para qualquer página da Web aberta?

    
por sourcejedi 18.12.2016 / 14:56

1 resposta

1

Apenas jogar com estilo ou um bloqueador de conteúdo contra a página não será suficiente, porque os dados não estão lá ; Você pode verificar isso procurando na fonte da página por uma palavra que deve ser incluída na página. O script de página busca partes da página de várias fontes diferentes (sim, prejudica o desempenho), e o conteúdo do artigo é buscado especificamente em https://support.microsoft.com/api/content/Asset/<id> .

Isenção de responsabilidade: não sou especialista em segurança nem em qualquer lugar próximo. Além disso, diferentes usuários precisam de diferentes níveis de segurança. Só porque eu não digo que algo é perigoso não significa que é seguro o suficiente para você. Eu não posso substituir um consultor pago. Não esqueça de outras linhas de defesa, como uma VM, se a sua situação justificar isso.

Eu posso pensar nas seguintes opções:

  • Ative o JavaScript para esse domínio específico. Embora isso não seja tão seguro quanto um bloco inteiro, uma lista de permissões de domínio ainda é mais segura do que ativar o JavaScript em todos os lugares, pois qualquer vetor de ataque teria que passar pelo domínio da lista de permissões. Não se esqueça de apenas colocar URLs HTTPS na lista de autorizações.
  • Substitua a página JavaScript pelo seu próprio addon, userscript ou bookmarklet. Os scripts de usuário ainda podem ser executados mesmo que o javascript da página seja desativado por um addon , embora sua milhagem possa variar. Um userscript que pega o framework Angular de uma fonte local (em cache) e o executa contra o conteúdo da página pode ser suficiente, mas eu não posso dar uma promessa definitiva sobre isso.

    Cuidado com a segurança, no entanto. Instalar o userscript de uma fonte local impede atualizações automáticas, então use isso. A pior parte é que, se você não escrever o script por conta própria ou inspecionar o código fonte, você terá que confiar no autor do script, e os scripts dos usuários têm privilégios um pouco maiores do que a página JavaScript e os complementos do navegador são ainda mais poderosos, e você nem mesmo confia no próprio JavaScript da página.

  • Use um serviço externo para visualizar a página, mas qualquer alternativa ao cache do Google provavelmente será menos confortável de usar, a menos que você consiga encontrar um espelho da Ajuda da Microsoft especificamente.
  • Acesse o terminal da API diretamente. Tédio, mas seguro. Não estou recomendando essa opção, mas ela ainda existe.
por 18.12.2016 / 21:11