macOS 10.12.6 Sierra
MacBook Pro (13-inch, Early 2011),
2,7 GHz Intel Core i7,
8 GB, Intel HD Graphics 3000 512 MB
Safari 11.0.2
Ventilatoren gaan vol aan bij de NRC website (nrc.nl)

Activity Monitor:
Process Name --  https://www.nrc.nl
%CPU -- 99.6

Heb gisteren de update naar 11.0.2 uitgevoerd. Tot nu toe is dit de enige website waar dit gebeurd.

Gebeurd dit ook op uw systeem of is dit specifiek voor mijn systeem?

----
Wat ik heb gedaan:
Alle extenties uit -- probleem blijft
Nieuwe gebruiker (Flix methode) -- probleem blijft

Safari 11.0.1 (net gechecked in backup) -- ok (%CPU = 0.2)
Firefox -- ok
Homebuild browser met WebKit.framework -- ok

Safari Develop menu:
na alles uitzetten en een-voor-een weer aan zetten, blijkt het uitzetten van Styles het probleem op te lossen. Maar dan is de pagina weergave niet zoals ze die bedacht hadden

Activity Monitor:
sample van proces https//www.nrc.nl laat een interessant Call graph voor de main thread zien, lijkt nooit uit allerlei style resolvers te komen.

Misschien is er nog iets anders wat ik zou kunnen doen om dit te verhelpen?

Je zou een EtreCheck rapport kunnen posten.

Maar je zou ook eerst eens een Combo Update kunnen uitvoeren...

Ik kan het probleem hier reproduceren.
High Sierra, Safari 11.0.2. 100% load. En dat blijft zo...
Geen probleem in Firefox.

Ook hier is het probleem te reproduceren.

Ik heb een iMac met macOS Sierra (de lage versie dus) en de nieuwste Safari.

Hier gaat Safari bij NRC ook richting de 100% (99,1% om precies te zijn). Het systeem blijft overigens goed reageren, dus de andere 3 cores blijven beschikbaar.

Met andere woorden: het lijkt me een Safari-bug!

Hi,

Nee dat gebeurt niet op mijn systeem dat overigens ook verschilt van het jouwe.
Dat even overslaande.

(uitgebreide tekst waarvan je vast al veel weet dat wordt genoemd maar vele anderen die meelezen misschien nog weer niet...)

NRC gaat los op vele zaken als je je browser niet een beetje in de hand houdt.
Of beter gezegd, als je geen maatregelen hebt getroffen om websites uit de bocht te laten vliegen door optimaal gebruik van allerhande conversiemogelijkheden (lees reclame en tracking)

De meest veelvoorkomende manieren om dit een beetje een halt toe te roepen zijn.
Een adblocker, vergt weinig kennis en configuratie met goed resultaat
Een trackerblocker, idem maar wel aanzetten (!)
Een javascript manager/blocker

De laatste is sterk spul, maar met een beetje meer kennis kom je wel tot een werkbare configuratie.
Ja, reclame is noodzakelijk, vinden veel website eigenaren (inkomsten)
Nee, reclame is ongewenst vinden veel gebruikers (cpu gebruik, veel data overdracht en vooral een security probleem!)

Kijken we even wat er op nrc gebeurt als we een heleboel (maar nog niet eens alles toestaan, iframes heb ik nog geblokkeerd)
Dan zien we de volgende usual suspects actief die zeker zorgen voor meer dataverbruik en ook een hoger cpu gebruik.

Op jouw site www.nrc.nl

ff in een kadertje voor de leesbaarheid

- Adverteerder met 'berucht' track record door oa meermaals malware via reclame te serveren ('slachtoffer' daarvan te zijn)

AppNexus advertising
URLs: https://acdn.adnxs.com/ast/ast.js

- Tracker (spionnetje dat je volgt over meerdere websites)
BlueConic Plugin Beacons
URLs: https://cdn.blueconic.net/nrcmedia.js

- Analisten, die daar geld aan verdient en er een verdienmodel omheen heeft gebouwd met jouw persoonlijke (privacy) data

* ChartBeat Analytics
URLs:
https://static.chartbeat.com/js/chartbeat_mab.js
https://static.chartbeat.com/js/chartbeat.js

* Google Analytics
URLs: https://www.google-analytics.com/analytics.js

* Hotjar
Analytics
URLs: https://static.hotjar.com/c/hotjar-298877.js?sv=5

https://sb.scorecardresearch.com/c2/11546962/cs.js

- Gepersonaliseerde reclame server op basis van wat Google over jou gedrag weet (nogal veel).
Google verkoopt jouw gegevens overigens niet maar biedt aan adverteerders aan te bemiddelen de advertenties te tonen aan de doelgroepen die zij in kaart heeft gebracht.
Maar Google, ik heb al zoveel groene sokken, nu wil ik andere maar je blijft maar groene sokken pushen! Hé, stopp, wil nu blue suede shoes. En als ik di heb graag geen reclame voor blauwe schoenen want die heb ik al, dan wil ik een rood kolbertje endan... Dat werkt dus niet dat advertentie model,

* Google Tag Manager / Widgets
URLs: https://www.googletagmanager.com/gtm.js?id=GTM-KKRPPB

Serveert reclame via iframes oa met behulp van het doubleclick domein

Wanneer je deze miliseconde trading companies uitschakelt door het blokkeren van de trackers, middels een adblocker of middels het blokkeren van allerhande javascripts of heel simple (en supereffectief!) het blokkeren van iframes (een website in een website zonder dat je het doorhebt, als je het niet weet) keldert je dataverkeer en dus ook je cpu verbruik aanmerkelijk.

Op die Nrc site zat om nog een xss attempt die een extensie als NoScript tegenhoudt, die ging naar een advertentie domein: XSS attempt op (inactief gemaakt met spaties) :
"https : // 5990802.fls.doubleclick.net"
Wellicht laat je Safari die redirect wel toe en bijt het haar tanden daar op stuk?

Anyway,
Het vervelende van dit soort processen is dat er een keten van redirects en embedded links en dus verbindingen kan ontstaan die maken dat jij zaken laadt van domeinen waar je als je het wist niet zou komen (iets van 1000 km oostelijker).

Maar of dat je hoge cpu kan verklaren?
Wat wel een heel duidelijke verklaring had kunnen zijn maar waar ik geen aanwijzing voor zie is een coinminerscript dat jouw browser (en computer) bij bezoek maximaal laat rekenen aan een sommetje dat helpt bij het minen van cryptovaluta waar de website eigenaar dan een centje extra kan kan verdienen.

Er begon een relletje met een experiment van the pirate bay dat script te laten draaien zonder bezoekers daarvoor toestemming te vragen, sommigen waren daar boos over. Best ironisch eigenlijk maar goed.
Later bleken heel veel meer sites dit script te draaien en inmiddels vragen veel websites wel voor toestemming als een alternatief voor het niet serveren van reclame.
Maar dan staat je systeem dus wel te blazen.
Wellicht handig in de zomer, kan je verkoeling zoeken achter je computer. Maar wellicht is die lokale passaat wind uit je Mac voldoende op temperatuur om wintervingers wat op temperatuur te laten komen.

Wil je dat niet (want gekkigheid natuurlijk) blokkeer dan de beruchtste coinminers standaard met een adblocker of een javascript manager (als bijv NoScript of een hele visueel mooie als uMatrix).
Een standaard adblocker blokkeert dus de beruchtste al wel, dat is deze (ook met spaties want ik kan deze reactie maar niet posten) :
"coi n hi ve . m in.j s"

Test nrc nog eens zonder javascripts actief (uit) en met een adblocker en ik ben benieuwd of je dan nog maar iets terug ziet van een hoge cpu waarde.
Ik zie in ieder geval hier niets omhoog zoeven en de Vents blijven ook stil.
Maar eerlijk is eerlijk, ik gebruik geen Safari maar iets mozilligs met aanvullende protectie.

Waar haalt die 'nieuweling' dit allemaal vandaan??
O.a. hiero:

- "Big Business is watching you"
https://decorrespondent.nl/66/big-business-is-watching-you/3383160-badc48a2

- "Dit gebeurt er allemaal onder de motorkap van je smartphone"
https://decorrespondent.nl/1034/dit-gebeurt-er-allemaal-onder-de-motorkap-van-je-smartphone/50352698-785491ea

- "Deze online tracker volgt je in het geniep en is niet uit te schakelen"
https://decorrespondent.nl/1496/deze-online-tracker-volgt-je-in-het-geniep-en-is-niet-uit-te-schakelen/41559414072-396289fa

- Coinhive blokkeren
https://blog.malwarebytes.com/security-world/2017/10/why-is-malwarebytes-blocking-coinhive/

Hopelijk vind je de oorzaak of een aanvaardbare correlatie tussen handeling en resultaat.
Ik vermoed dat Firefox eea tegenhoudt en dat Safari nog (teveel javascript based activity) doorlaat??
Tijd voor actie om dat in balans te brengen?
Ben benieuwd of het uitmaakt.

Succes

(Yup, ik negeer mijn eigen principele radiostilte voornemen bij gebrek aan https, hopelijk wordt dat snel gefixt hier.
Zou het contract getekend zijn vandaag?
Lets encrypt certificaten kosten niets en 100 miljoen websites gingen in de afgelopen 2 jaar macfreak voor. Ben benieuwd.)

(Bewerkt door KwikKwekNMac om 20:09, 11-12-2017)

Kan het ermee te maken hebben dat NRC het onmogelijk heeft gemaakt (of heeft willen maken) om de site via een prive-venster te bekijken? In een prive-venster kon je het maximum van vijf gratis views omzeilen en dat gebeurde kennelijk te veel.
Geen idee wat ze veranderd hebben - ik bekijk die site zelden en meestal in FF.

Allemaal heel veel dank, voor het uitproberen en meedenken! Er gaat een bugreport naar Apple.

Voor wie het niet kent, het Develop menu van Safari, laat je van alles uit- en aan-zetten, zoals Javascript en extensies. Het enige wat uitmaakte in dit geval was het uitzetten van Style (Disable Styles).

(Bewerkt door rt om 10:22, 21-12-2017)

Update 21 december 2017:
in zowel de nieuwe Safari Technology Preview 46 en Safari 11.03 (12604.5.2) beta is het nrc.nl probleem opgelost: 0,1 %CPU
https://developer.apple.com/safari/download/

Apple reageeerde trouwens heel vlot op het bugreport. Probleem was blijkbaar al opgemerkt en ook aan gewerkt, want die 11.0.3 beta is van 7 december, dus voordat ik het bugreport instuurde.

We hebben de post van KwikKwekNMac aangepast, omdat de link van ScoreCard Research de pagina uit zijn verband trok.

Omdat de link ook niet werkte (waarschijnlijk verlopen) hebben we die meteen helemaal verwijderd.