Vlákno názorů k článku Bezpečná nastavení? od michal - Pardon, ale pokud prijdu na web, ktery mi...

Pardon, ale pokud prijdu na web, ktery mi na uvodni strance zobrazi bilou obrazovku, po shlednuti kodu zjistim, ze me mel javascriptem poslat na url "http://www.czech-ware.net/home/?headen" plus neco a po zadani url http://www.czech-ware.net/home/?headen zobrazi chybovou hlasku (navic se spatnou diakritikou), protoze programator si ani neumi osetrit vstupni data, tak takovy web na me dobry dojem rozhodne neudela a pokud autor psal o "duvere" na internetu, tak duveru ve me uz vubec nevzbuzuje.
Jaky pouzivam software je moje vec, posila "Accept-Language: cs, en-us, en", pokud vas to zajima.

M.

Nevěřil jsem, že existuje web, který mi natahuje okno, musel jsem si to vyzkoušet a čumím. Nechápu jaký to má účel. To si vážně myslíte, že se to 95% uživatelů líbí???
Chtěl jsem vědět, čím mne ještě překvapí, ale po třetím kliknutí mi zatuhnul IE, nevím o co se chtěl pokusit. GRRRRrrrrrr!!!

Podival jsem se na to www.czech-ware.net. A tohle jako myslite vazne?

Nejdriv tam byl jen jeden smajlik a par jmen a nic. Jak mam vedet jako uzivatel co se deje? No rekl jsem si ok, jste neschopni udelat to asi pro Mozillu a podivam se na to v IE.

Zase ty smajlici (tentokrat vice) a uz celkem klasicky design s nejakym rotujicim logem (nejakym zubatym). Ale proc mi to roztahlu stranku na cele okno? Takove weby se mi spatne ctou a tak okno zmesim. A ono se zase samo zvetsilo.

No co to sakra znamena za saskarnu? Co mi ma co nejaky pitomy web kecat do toho, jak mam velke okno?

Nijak jsem nezkoumal co na tech strankach mate, z meho pohledu i kdybyste tam meli lek proti rakovine tak tam nepujdu - protoze takova ukazka arogance vuci uzivateli me proste vytaci. Radsi 50 textovych webu nebo webu delanych ve Wordu nez 'TOHLE'!

Argumenty vám došly, ale vaše touha po pomstě za trefný článek nebyla ukojena - tak se zaměříte na osobu autora a snažíte se do něj šťourat :-)

Autor článku je spolumajitelem serveru czech-ware.net. A já jsem jeho zakladatel. Takže... ehm... no... flamewarů jsem začal už dost a tady nehodlám začínat další. Stránky czech-ware.net vyžadují IE5.5+ se zapnutým JavaScriptem, pro bezchybnou funkci je doporučené i DirectX 6+. Používá technologie, které využívají spoustu těch nenáviděných vynálezů MS (dynamické stažení zvolené stránky, renderování 3D přes bezpečný ActiveX, atribut contenteditable). Při tom všem to není ani warez ani porno. Je to ten tzv. hodný web. Snaží se vyjít maximálně vstříc 95% uživatelů - přizpůsobí se jejich jazyku (chytré prohlížeče totiž posílají v HTTP hlavičce jazyk uživatele a ne jen angličtinu) i rozlišení. Frameset se generuje klientským skriptem, aby se serverový skript dozvěděl rozlišení před samotným vygenerováním stránky. Krom toho se obrázky resizují přesně do okna, což zase zajistí klientský skript v té stránce po jejím načtení. Můžete si na něj nadávat jak chcete, můžete křičet "když nejde všem, není hodný"... ale jestli web je či není hodný je nakonec vždy subjektivní názor návštěvníka. Vy ho nemůžete globálně označkovat. Nemůžete totiž nikdy vystihnout podstatu pojmu "web", znáte jen pár stovek, či tisíc stránek, podle kterých si utváříte šablonu pro web. Já nečiním nic jiného. Ze statistik těch x stránek, které jsem kdy viděl, jsem prostě vyčetl, že lidé, které chci oslovit (návštěvníci těch x stránek) používají v drtivé většině IE. Potenciál tohoto prohlížeče je velký, znám jeho technologie, znám jeho bezpečnostní díry, umím je zneužít, ale nemám k tomu žádnou motivaci. Podle čeho tedy soudíte stránky vy? Podle průniku zaostalých standardů, které někdy někdo vymyslel (nějaké samozvané konzorcium), a minimálních schopností těch nejminoritnějších prohlížečů? Možná tak. A jaký je účel? Abyste oslovil prostřednictvím webu i těch 0.1% lidí, jejichž prohlížeč (úmyslně) nezvládne JS? Budiž. Co se stane, když se na takovou dokonale čistou validní superkompatibilní stránku podívám v rozlišení 3072×2304? Bude se mi líbit? Asi moc ne, řádky budou příliš dlouhé, obrázky mrňavé. Mám si snad kvůli tomu snížit rozlišení? To mě ale omezujete, Vaše stránka není hodná! Já ignoruji 5% přívrženců minoritních prohlížečů, vy ignorujete 5% přívrženců vysokých rozlišení. Nemáte tudíž sebemenší právo moralizovat a kázat kdo je hodný a kdo ne... tím spíš, že jste vlastně jen anonym.

Chcete-li na mě nyní vyrukovat s tvrzením, že nedokážu napsat stránku funkční i bez JS, tak se nejprve mrkněte na eyeline.cz (ta se sice bez JS taky neobejde, ale ten JavaScript je na straně serveru :-)).

Nevím, jaký Visual Basic si mám opravit... jo aha - vy jste tím měl asi na mysli úplně jiný jazyk - VBScript. Základní struktura serveru czech-ware.net je mimochodem napsaná v JavaScriptu. Skripty na stránkách www.czech-ware.net i www.czech-ware.net?lansky využívají ActiveX, stejně jako každý web psaný v ASP (tzn. ActiveX na straně serveru). Můžete se klidně naučit celý VBS i JS... to je záležitost několika hodin (příp. minut, pokud si stáhnete malou referenční příručku)... buďte si však jist, že přes QueryString (parametr metody GET) mi do mého skriptu žádný nebezpečný kód nedostanete.

Ten VBScript opravovat nebudu - počítám totiž s tím, že návštěvník není debil, který se může zbláznit radostí, když na blbý požadavek dostane blbou odpověď :-)

Co se tyce stranek, ktere bez toho nejedou - Velka cast stranek pouziva rozbalovaci menu - tam je navigace pak velmi stizena.

Velka cast? Nerekl bych, ze zase tak velka cast. Krome toho, stranka, ktera pohrda uzivatelem (znepristupnuje mu i zakladni ovladani, pokud neni uzivatel dostatecne prasteny, aby zapinal kazdou bezpecnostni diru), si asi navstevu nezaslouzi.

Konkretni priklad dobre stranky pouzivajici javascript je www.pctuning.cz, kde neco zadat do diskuse lze pouze pomoci javascriptu. Dalsi stranka je atlas, kde si zase bez javascriptu neprectes postu. A to jsou oba velmi kvalitni servery...

Pokud nejsou pouzitelne i bez javascriptu, tak to kvalitni servery nejsou (mozna maji kvalitni obsah, ale nejsou kvalitne udelane). Neni nejmensi duvod, proc pouzivat skriptovani na neco, co jde stejne dobre napsat v cistem HTML (to je ostatne pripad i tech rozbalovacich menu, kdyz tak o tom mluvime).

V kazdem pripade vetsina stranek javascript, treba pro blbosti pouziva - takze povolit ho na pozadani vopruz je. A kdyz se uplne zakaze, tak ti sice jen par, ale presto par stranek nefunguje.

Javascript mam vypnuty, zapinam ho jen pro vybrane stranky (coz zdaleka neni totez co "stranky, ktere JS pro svou funkcnost potrebuji") a nemam pocit, ze by me to nejak zvlast omezovalo (at zijou IE bezpecnostni zony). A kdyz uz nahodou narazim na stranku, ktera javascript vyzaduje, ale nesplnuje moje pozadavky na stranku, kterou si zaradim do duveryhodnych serveru, tak ji bud opustim, nebo si proste ten hledany obsah najdu v kodu...

No,
Co se tyce stranek, ktere bez toho nejedou - Velka cast stranek pouziva rozbalovaci menu - tam je navigace pak velmi stizena.
Nektere stranky pouzivaji javascript pro download (i kdyz to je podle me zrovna nerozumne uziti javasriptu) - pak z takove stranky si nestahnes nic).
Nektere pouzivaji javascript pro zlepseni prehlednosti stranky, nektere pouzivaji javascript pro overovani formularu (coz je o dost rychlejsi nez overovani na serveru) - to jsou jiz drobnosti - ale prijemne.
Ale videl jsem i stranku (zrovna jsem z ni neco potreboval),
ktera byla napsana stylem
'document.write(.......)'

Konkretni priklad dobre stranky pouzivajici javascript je www.pctuning.cz, kde neco zadat do diskuse lze pouze pomoci javascriptu.
Dalsi stranka je atlas, kde si zase bez javascriptu
neprectes postu.
A to jsou oba velmi kvalitni servery...
Napr. centrum ma zase javascriptem vyreseny uzitecne drobnosti...

Vim, ze spravna HTML stranka je takova, ktera lze precist linksem (textovy browser), ale bohuzel ne vsechny stranky
jsou psany tak, aby byly v takovemto browseru sly precist.

V kazdem pripade vetsina stranek javascript, treba pro blbosti pouziva - takze povolit ho na pozadani vopruz je.
A kdyz se uplne zakaze, tak ti sice jen par, ale presto par
stranek nefunguje.
Na druhou stranu i kdyz jsem mel zapnuty javascript, tak
(az na skakani popup voken, to lze vsak vyresit i jinak)
mi javascript nic zleho zatim nepusobil.
Matyas

Bohuzel (ci spise bohudik :-)) je javascript natolik rozsireny a potrebny (asi nejcastejsi uziti je navigace na strankach apod.) ze tento vypnout ci explicitne povolovat je "hroznej vopruz".

Neni, ja s tim ziju uplne v pohode. A jesi jsou nejaky stranky, ktery bez toho nejedou? o tech nevim, asi na ne nechodim. Asi na nich neni nic zajimaveho :-)

V podstate souhlas. Ja to beru tak, ze javaScript by mel uzivateli nabizet urcite pohodli, ktere neni nutne k prohlizeni stranek. A toho pohodli jsem ochoten se vzdat - mozilla pak spotrebuje min casu CPU (zvlaste nekterych webu, ktere si v JS nastavi nejaky nesmyslny casovac na 1ms ap.).
A antivir jsem taky v zivote nepouzil, ackoliv nerikam, ze je to zbytecna vec.

M.

Doplneni: Nevim, co ma autor do cineni se serverem czech-ware.net (krome e-mailovaho uctu), ale _vyzadovani_ zapnuteho javascriptu uz na uvodni strance pomoci document.write() nebo location.href je takova pekna vlastnost tech "hodnych" webu, ze?
A opravte si visual basic:
http://www.czech-ware.net/home/?headen+chybicka+se+vloudila
(neznam VBScript, takze nevim jestli by tam slo dostat nejaky ten "bezpecny" kod zvenci :))

>A jake nam z toho plyne pouceni? Nechat si potvrzovat
>cookies, javascript povolovat jen tam, kde je to skutecne
>potreba a nedolit takove ty "ficury" jako prepisovati
>status baru, pop-ups ap. (mozilla & opera rulez!), a
>ActiveX vypnout uplne. A webmasteri at se prizpusobi: nas
>zakaznik - nas pan.

Bohuzel (ci spise bohudik :-)) je javascript natolik rozsireny a potrebny (asi nejcastejsi uziti je navigace na strankach apod.) ze tento vypnout ci explicitne povolovat
je "hroznej vopruz". Nektere stranky bez nej ani nefunguji.

Totez k pouzivani cookies - polovina stranek pouziva PHP a
sessions-cookies ci coookies k autentifikaci. Rozumnejsi je podle mne javascript povolit, cookies take, ale jednou za cas soubor s cookies promazat...

Mnohem dulezitejsi je podle me si davat pozor, co kam na webu pisu (napr. mit specialni mailovou adresu pro webove formulare a kdyz se zaspamuje, tak zalozit novou apod.).

ActiveX si na pocitac nepustim ani za nic - system si
nakonfiguruji sam (a lepe :-)) a bez bezpecnostniho rizika.
Jeste jsem nevidel stranku, kde by byl opravdu potreba.

Moc nemam rad prilis restriktivni politiku. Napr. dneska se
rika, ze antivirus na pocitaci pripojenem k netu je nutnost.
Nemam ho, a za poslednich par let jsem nechytil z webu jediny virus (ackoli mi jich stovky prisly) - staci pouzivat rozumneho mailclienta (bezpecneho => NE Microsoft Outlook (Express)) a nez spustim prilohu tak se rozmyslet a vse je OK. Mnohem jednodussi nez vse zakazat a pak neustale
odklepavat dotazy ano, ano... je myslet. Ale souhlasim,
ze u tech mene bezpecnych veci (tzn. napr. spusteni mailove pripony s dvojitou priponou apod.) se jedno varovani vyplati - clovek je precijenom chybujici.
Matyas

> Určité nebezpečí by představovala možnost
> přečtení všech cookies bez omezení, ze
> které domény byly uloženy, ale to žádný
> dnešní prohlížeč neumožňuje.

Nemel by umoznovat, bohuzel ty mene zavazne chyby v implementaci JavaScriptu (nejen v IE) prave obcas umoznuji cteni cookies z jinych domen. Ale jde skutecne jenom o soukromi, ne o bezpecnost.

ActiveX - Kdyz jsem cetl, jak je uzasne, ze umoznuje zmenit nastaveni pocitace, tak mi behal mraz po zadech :). Pokud chci neco zmenit, tak si to zmenim sam. BFU, ktery nicemu nerozumi, si taky nema co menit, navic uz tuplem nedovede rozlisovat mezi "hodnymi" a "zlymi" ActiveX komponentami - tudiz zejmena u nej je vhodne je vypnout.

Pak tu je ten javascript, o kterem autor z jakehosi duvodu pomlcel. Navrh pekny, bohuzel snad vsechny implementace (IE zejmena) mely nejakou tu chybku at uz v soukromi nebo bezpecnosti.

A jake nam z toho plyne pouceni? Nechat si potvrzovat cookies, javascript povolovat jen tam, kde je to skutecne potreba a nedolit takove ty "ficury" jako prepisovati status baru, pop-ups ap. (mozilla & opera rulez!), a ActiveX vypnout uplne. A webmasteri at se prizpusobi: nas zakaznik - nas pan.

M.