Come impedire a shr di stabilire connessioni di rete

8

Le versioni recenti di Emacs hanno un ottimo renderer per HTML scritto interamente in Elisp. Questo renderer (shr) può essere utilizzato per visualizzare e-mail HTML, documentazione, ecc. Tuttavia, sembra che shr recuperi risorse remote a cui si fa riferimento in documenti HTML (ad es. Immagini). Se l'HTML non è attendibile, come nel caso delle e-mail di spam, ciò comporta una serie di problemi di sicurezza e privacy.

Domanda: Come è possibile impedire a shr di accedere a risorse remote durante il rendering HTML?

eww  security  shr 
tmalsburg
fonte
Ho il sospetto che sia piuttosto qualcosa che può essere regolato url.elsolo in.
Wasamasa,
2
@wasamasa Vuoi dire che potrei temporaneamente consentire l' url.elaccesso a risorse remote? Sembra che potrebbe rompere le cose in shr. Penso che shr dovrebbe essere in grado di distinguere tra risorse locali e remote e dovrebbe avere una modalità in cui non tenta nemmeno di recuperare cose remote.
tmalsburg,

Risposte:

6

shr.el ha a (defvar shr-inhibit-images nil)e a

(defcustom shr-blocked-images nil
  "Images that have URLs matching this regexp will be blocked."
  :version "24.1"
  :group 'shr
  :type '(choice (const nil) regexp))

Sembra che (setq shr-inhibit-images t)interrompa le richieste Web quando visualizzo le e-mail HTML.

Si noti che disattiva ewwcompletamente la visualizzazione delle immagini . Per me va bene ma potrebbe non funzionare per te. Puoi ovviamente aggiungere un eww-modekeybinding che cambierebbe + ricaricare una data pagina quando si accendono le immagini.

Mankoff
fonte
Grazie! Non sono sicuro che sia completamente a tenuta stagna, ma sembra gestire la maggior parte dei casi.
tmalsburg,
2
La mia soluzione è quella di collegarsi temporaneamente shr-inhibit-imagesal trendering di e-mail HTML. In questo modo eww non dovrebbe essere interessato.
tmalsburg,
Puoi fornire il codice per questo?
mankoff,
1
Quindi questa discussione è in corso nell'elenco mu4e contemporaneamente. È stato sottolineato che le immagini sopra inibiscono le immagini, ma shr potrebbe comunque accedere al web per cookie, javascript, ecc.
mankoff
Mu4e ha una funzione per il rendering di e-mail HTML. Si chiama mu4e-shr2text. La mia versione modificata con inibizione delle immagini può essere trovata qui: github.com/tmalsburg/mu/blob/master/mu4e/mu4e-contrib.el#L44 Dubito che questa dichiarazione sui cookie e javascript. I cookie non vengono recuperati utilizzando connessioni separate e eww / shr non ha supporto per javascript a mia conoscenza.
tmalsburg,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.