phpdummi

Für mich gehört Javascript mittlerweile genauso zum Web wie HTML und CSS.
Flash dagegen nicht.

__________________
"Nobody is as smart as everybody" - Kevin Kelly
— The best things in life aren't things

Mister Ad

nikosch

dito.

__________________
--
One pixel is still too big. Please make it smaller. ASAP.

Initiative Mittelstand.
Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers.
--

Curanai

"Halbwissen" ... so so ... darf ich Dir jetzt auch eine Beleidigung "artgerecht" verpackt um den Hals wickeln? Kannst Dir also bequem klemmen - aber hier hast Du wohl einiges aus dem Blick verloren, denn ...

... hätte ich "<= 6" gemeint, hätte ich es auch geschrieben. Aber das wirst Du als Vollprofi auf einschlägigen Seiten durchaus in Erfahrung bringen können, welche Browser derzeit noch massiv im Einsatz sind - selbst IE5.5 ist immer noch unterwegs. Und bevor Du jetzt wieder mit sowas halbgarem wie "Halbwissen" ums Eck kommst: Behörden, und dann hab mal mit denen im Kundenumfeld zu tun - da müssen viele Dinge noch auf IE6 laufen; sogar im Intranet. Wer also meint, von Browserkompatibilität sprechen zu wollen, sollte nicht vergessen, für wen im Endeffekt das Teil laufen soll ... und die haben garantiert nicht die neusten Browserversionen im Einsatz. Mehr Fakten? Gern ... musst Dich nur melden.

Was Deine Paranoia mit dem unheilvollen XSS angeht, da Du anscheinend Projekte hast, die Usereingaben und -aktionen ungeprüft handled: Es gibt wunderschöne Seiten mit wunderschönen Beispielen, die man (frau auch) dann auf seine Applikation loslassen kann ... eine Heidenarbeit, aber Sicherheit geht eben vor - und wenn Deine Angst Deine Fähigkeiten, derartiges schon im Vorfeld zu unterbinden, übersteigt, so ist das mit dem Halbwissen ein echtes "aus-dem-Fenster-lehnen" gewesen. Auch hier stelle ich Dir gern sämtliches Material zur Verfügung.

Eine Bitte: Urteile generell nicht über Leute, die Du bzw. deren Arbeiten Du überhaupt nicht kennst! Danke.

Schönen Sonntag noch ...

__________________
Manche Menschen sind wie Schnitzel - nicht zäh, aber beidseitig bekloppt!

nikosch

Die Reaktion finde ich jetzt etwas übertrieben. Aber das könnt Ihr ja unter Euch ausmachen. Nur soviel:

Das würde ich so auch nicht unterschreiben. Wer mal eine wichtige Information verzweifelt gesucht hat und beim Anblick der Google & Co-Ergebnisse ein flaues Gefühl im Magen bekommen hat, wird wissen, dass wollen und müssen zwei verschiedene Dinge sind. Und solange selbst etablierte Boardsysteme (auf denen die meisten Fachinformationen aus dem Semibereich publiziert werden) nicht frei von XSS Lücken sind
- finde ich es Blödsinn "selbst schuld" zu feixen
- finde ich es sehr bis zu selbstbewusst, zu behaupten, die eigenen Anwendungen seien 100% angriffssicher. Sind sie nicht.
Mein bisheriges Bild von Cortex - soweit ich mir das auf Basis seiner Beiträge in diesem Forum bilden konnte - zeigt eigentlich keinen, der kopflose halbseidene Anwendungen zusammenschustert.

Haltlose Schlussfolgerung, aus Angst (besser Gefahrenbewusstsein) Leichtsinn/Fahrlässigkeit abzuleiten.
Eine Bitte: dito!

__________________
--
One pixel is still too big. Please make it smaller. ASAP.

Initiative Mittelstand.
Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers.
--

cortex

heute morgen - welch zufall - gab's eine meldung bei heise: Finger-weg-von-JavaScript-Packern

sogenannter bösartiger js-code ist in der regel xss. mehr zu diesem thema gibt's bspw. auf meingottundmeinewelt.de

ansonsten lasse ich mich nicht angezicken - die paranoia ruft .-

cx

Curanai

Interessant ... wenn man das gleiche "Spiel" spielt (auf Basis von Spekulationen), wie dann vereinzelte Reaktionen sind - wirklich interessant!

@ cortex: Das folgt direkt nach Deinem Zitat - sollte man vielleicht direkt daneben setzen, damit der Kontext nicht zerrissen wird und ein anderer Sinn entsteht - und von nichts anderem habe ich gesprochen - wenn auch etwas energischer.

Versteht mich bitte nicht falsch, aber "pauschale Schublade" ist nicht und "Spekulationen" führen ausgerechnet hier zu nichts ...

@ cortex erneut: Angreifen/Anzicken wollte ich Dich nicht - hier ging es nur um "gleiche Münze zurückzahlen". Aber Du scheinst ja ein dickes Fell zu haben ...

Aber ich würd gern nochmal zurück auf das Thema kommen, da u. a. auch Flash hier genannt wurde - was ist damit?! Wir reden hier von kompiliertem Source, der eben nicht zur Ausführung gescannt wird o. ä. Hier entscheidet letztendlich der Browser mit seinen Sicherheitseinstellungen, was ein ActiveX bspw. darf und was nicht. Und soweit ich weiß, kann ich mit Flash ebenfalls Tracking-Cookies etc. platzieren. Hier passt dann wieder das Statement von nikosch prima, dass es ein Unterschied zwischen "müssen" und "wollen" ist. Und wenn ganze Seiten auf Flash basieren (was ich schon seit Flash2 stylistisch für falsch halte), ist der Content eh für die Katz ...

Schönen Sonntag euch allen.

__________________
Manche Menschen sind wie Schnitzel - nicht zäh, aber beidseitig bekloppt!

nikosch

Auch an dieser Stelle sei noch mal ein Hinweis auf die aktuelle ct (10/2009) und den Artikel zur PHP-seitigen Intrusion Detection (phpids) gestattet. U.a. werden dort Techniken beschrieben, wie die IDS versucht, Scriptparameter zu erkennen und anhand einer sogenannten Centrifugation (oder so ähnlich) zu verifizieren. Ist sehr interessant.

__________________
--
One pixel is still too big. Please make it smaller. ASAP.

Initiative Mittelstand.
Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers.
--

Manko10

Um mich auch nochmal einzumischen: javascript: ja, JavaScript, das von fremden Seiten eingebunden wird: nur nach expliziter Bestätigung. Für den Schutz gegen XSS benutze ich Secure-Login mit Skriptblockade auf Login-Seiten. Ja, XSS ist ein ernst zu nehmendes Sicherheitsrisiko, auch im Web 2.0 oder wie immer man es nennen will. Und manchmal passiert es auch, dass man aus Versehen auf einer Seite landet, auf der man eigentlich gar nicht sein wollte. Vor allem, wenn man vorher über eine Suchmaschine gesucht hat, immerhin kennt man die Seiten in der Regel nicht, auf die man dann kommt, sonst würde man allermeist nicht danach suchen.
Cookies erlaube ich per CS Lite nur nach Whitelist, bei Anbietern wie Google etc. sogar nur für die aktuell laufende Session. Flashcookies lösche ich am Sessionende immer per Better Privacy.
Diese Maßnahmen setze ich alle ein, um meine eigene Privatsphäre zu schützen. Auch den Referrer habe ich abgeschaltet. Dabei bin ich diesen Technologien aber keineswegs abgeneigt. Wenn ich einer Seite vertraue, dann aktiviere ich für diese auch uneingeschränkt JavaScript (zumindest fast, Google Analytics, Doubleclick usw. bleiben natürlich draußen), aktiviere Cookies und lasse Flash zu.
Flash halte ich übrigens auch für eine sehr sinnvolle Technologie, die sehr sinnvoll eingesetzt, aber auch sehr missbraucht werden kann. Überhaupt nicht leiden kann ich die Seiten, die insgesamt nur aus Flash bestehen. Flash wird zwar immer auslesbarer (Text lässt sich mittlerweile mit bestimmten Mitteln extrahieren), aber zugänglich ist immer noch etwas anderes. Das ist ein typischer Fall von Missbrauch. Ein anderer Fall, den ich nicht so gern sehe, ist der Gebrauch von Flash für Werbebanner oder Logos (wie z.B. bei phpforum.de). Viele wollen ein animiertes Banner/Logo, aber GIF bietet nur 256 Farben und PNG lässt sich nicht animieren. Dann greifen viele zum Flash. Aber von mir aus müssen Banner und Logos nicht animiert sein, im Gegenteil, ich finde es absolut unprofessionell, wenn alles blinkt und blitzt. Das erinnert mich dann irgendwie immer an die aufdringliche und beleidigende Werbung von MediaMurks und Schlimmeres. Viel professioneller und seriöser ist ein Logo/Banner, das auch ohne Bewegung wirkt. Aber dann müsste man sich ja Gedanken machen, bevor man den Krams gestaltet...
Vollkommen legitim und begrüßenswert halte ich Flash allerdings als plattformübergreifenden Ersatz für ActiveX. Also für Sachen, die sich mit HTML, CSS und JavaScript (bisher) nicht oder nur schwer umsetzen lassen. Seien es nun Media-Player, Dokumentenbetrachter oder Webmeeting-Dienste mit Desktopsharing. Also vor allem Dienste, bei denen man auch erwarten kann, dass die Zielgruppe einen Flashplayer installiert hat (und bei Media-Playern kann man ja auch immer noch einen alternativen MP3-Download anbieten). Als Design- und Werbemittel halte ich Flash aber für vollkommen ungeeignet und es stellt in meinen Augen einen Missbrauch einer Technologie dar, die durchaus Potential hat, was Flash wiederum immer als Schlechtigkeit dastehen lässt.

Eure Schlammschlacht ist aber wirklich kindisch und ich bitte euch, sie zu beenden oder woanders auszutragen, sonst muss ich die entsprechenden Beiträge abtrennen und darauf habe ich eigentlich keine Lust.

Beitrag editiert:
[…] Das Board wird immer merkwürdiger. Das javascript am Postanfang ist eigentlich ein JavaScript, aber das Board macht immer javascript draus...

__________________
Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

pixelprinzessin

heutzutage benutzen meiner meinung nach alle großen seiten java script... und in der java script doku von selfhtml steht auch ein sehr interessanter satz: und für die werbung, die mit js erzeugt wird, gibt es ja nun auch genügend blocker ohne dass man js dafür ausschalten muss..

nikosch

Die ANgst vor Javascript hat im Web2.0 an sich einen höheren Stellenwert als vorher. X Seiten bieten Javascript APIs an oder verwalten Daten über Ajax. Wer Communities nutzt und fleissig die angemeldet-bleiben-Option siehts ich da schnell einer JS-basierten Ausschnüffelung gegenüber. Was läge näher, als mal pauschal die xing/vz/myspaces dieser Welt auf offene Sessions anzutesten.

__________________
--
One pixel is still too big. Please make it smaller. ASAP.

Initiative Mittelstand.
Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers.
--