Javascript security bug in Opera

Het is vandaag de 21e. Voor het eind van de maand IS snel! Heb je enig idee hoeveel er mis kan gaan als je drie regeltjes code veranderd in een project van wellicht enkele honderdduizenden regels code? Daarom moet iedere patch eerst zorgvuldig getest worden op 'regressions', en of de bug ook echt in alle gevallen echt gefixed is. Wees *blij* dat ze er een weekje voor nemen, ipv vandaag als een patch uit de deur te stampen! Als ze dat zouden doen zou je voor je 'betaal browser' er waarschijnlijk vijf problemen voor terugkrijgen, en dat wil je toch zeker niet? Het lijkt mij eerder een zeer goeie zaak dat ze hun geld aan QA, Quality Assurance, besteden.

En om het nou een "grove fout" te noemen. Tja, het is een security bug, die zijn nooit prettig, maar de cookies van een ander domain lezen is nou ook niet bepaald een wereldramp. Iedere andere browser die ooit gemaakt is heeft in het verleden ook zulke bugs gehad, en er zullen er in de toekomst nog zeker meer volgen.

De fout is niet gruwelijk groot of levensbedreigend. In IE zitten nog steeds fouten die al ontdekt zijn, en hoe vaak wordt daar nou eigenlij echt gebruik van gemaakt? Als zij binnen een week een upgrade kunnen maken vind ik het al lang knap. En om nou in een week een heel stel mensen aan het werk te zetten om elke Opera gebruiker het leven zuur te maken door in zijn / haar history map te kijken? Nah, dat gaat een bietje ver niet? Er moet een heel wat gevaarlijker gat gevonden worden wil men met hoge spoed dag en nacht gaan werken... dit is wel een gat maar geen grote, eerder een gaatje.

Als alle websites eisen gaan stellen aan de gebruiker, dan gaat het hele vrijheidsidee van internet natuurlijk niet meer op.

Bovendien: als ik op mijn thuis-PC Quake 3 speel, wil dat toch niet zeggen dat ik op diezelfde PC de website ook bezoek? Misschien werk ik wel met een niet-grafische Unix-variant op mijn werk en wil ik in mijn pauze even info zoeken over het spel dat ik thuis speel. Om maar een voorbeeld te noemen. Ik wil alleen maar zeggen dat er zoveel verschillende situaties kunnen zijn waarin je verhaal niet opgaat, dat het gewoon niet slim is om je website te richten op mensen die de configuratie hebben waarvan jij als maker vindt dat ze die zouden moeten hebben. Toeters en bellen okee, maar maak ook een cleane variant

Het is eerder andersom. Stel iemand heeft een MS computer en MS software gekocht en wil een website maken.

Jij gaat die persoon nu opdringen z'n site ook voor andere browsers beschikbaar te maken omdat jij geen MS wilt kopen.

Hoe het zo gekomen is is een tweede verhaal, maar feit is dat het overgrote deel der internetters MS software en een MS browser gebruikt. Als een website-bouwer dan besluit een site MS only te maken moet je niet gaan zeggen dat MS een monopoly oplegt. Jij maakt een keuze (geen MS) en aan die keuze zit een consequentie (geen MS-only websites).

En ja, ook op een 486 kun je met een MS browser websites bekijken (en dat loopt nog best lekker ook)

Reactie op hezik:

Ga me nou niet op het voorbeeld van die 486 pakken, want dat doet er natuurlijk niet toe. Dan kan ik namelijk wel weer gaan zeggen dat "windows kopen" tegenwoordig betekent Windows XP aanschaffen en dat draait toch echt niet op een 486. Zo'n soort discussie is zinloos.

Jij gaat die persoon nu opdringen z'n site ook voor andere browsers beschikbaar te maken omdat jij geen MS wilt kopen.

Ik dring niemand iets op. Als je een website gaat bouwen, dan gebruik je HTML, omdat het WWW daarop gestoeld is. Browsers als lynx en Opera houden zich perfect aan de HTML-standaard, dus is er niks aan de hand. Maar webdesigners kiezen er bewust voor om MS-specifieke dingen in hun websites in te bouwen. Leuk, maar daar kiezen zij dan toch echt zelf voor, ik dring hun dat niet op. Als je bewust van de HTML-standaard gaat afwijken, dan kies je er dus voor om mensen, die daar niet op voorbereid zijn, een website met fouten voor te schotelen, ofwel de toegang tot die website te ontzeggen, ofwel te dwingen je aan jouw wensen aan te passen. Zo simpel ligt het. Die beslissing ligt dus geheel bij de ontwerpers.

Bovendien is mijn punt niet dat het van mij niet mag, ik noem het alleen "niet slim" en "idioot" om te doen. De bezoekers met "niet-compatibele" browsers komen echt nooit meer terug, dus je snijdt je als ontwerper zelf in je vingers. En dan kan men wel zeggen: "De statistieken geven aan dat 95% van mijn bezoekers wel IE gebruikt", maar dan zeg ik: dat zijn statistieken. Ten eerste is dat percentage natuurlijk zo hoog omdat de mensen met andere browsers denken "rot op met je gammele site". Ten tweede kan bijv. in Opera "Identify as MSIE" aanstaan, waardoor Opera meegeteld wordt als IE 5.0 of zo. Dat zijn al twee hele simpele dingen die de stats verneuken, er zijn er dus ongetwijfeld meer. Als je weet dat Opera door heel veel mensen gedownload wordt, kun je er donder op zeggen dat het ook door die mensen gebruikt wordt. Kortom, punt blijft: het is slimmer om minstens ook een site zonder javascript en andere zooi te maken, zodat die versie in elk geval door alle browsers te bekijken is.

Reactie op Marger:

Ik ben het grotendeels met je eens, op 1 punt na:

...ofwel de toegang tot die website te ontzeggen, ofwel te dwingen...

Daar zit de fout in je redenering. Ja webbouwers kiezen er bewust voor MS-only te ontwerpen. Daarmee ontzeggen ze jou helemaal niets. Jij maakt de keuze wel of geen IE op mijn systeem, en het gevolg daarvan is dat je die site niet kunt zien.

Op deze manier heeft iedereen een keuze gehad vroeger of later. Als je gaat zeggen 'ik wil geen MS, DUS de webbouwers moeten daar rekening mee houden' dan dwing je hun iets op, niet andersom.

Probleem is dat niet iedereen de kennis heeft om een website voor alle browsers te bouwen. Veel mensen vertrouwen op bv Frontpage ( ) en daar komt vnl. IE-gericht spul uit.

NEE !!!

Hij bedoelde het MICRO$CHOFTNISME.

Altijd M$ kopen.

Altijd hardware bijkopen omdat je M$ moet kopen.

Games zijn geen websites. (appelen en peren vergelijken)

Ach, javascript heeft veel toegevoegd aan het kale HTML en het is ook nog eens best makkelijk te maken.

Zonder javascript? Ik neem aan dat je niet VBscript bedoelt?

Dat mag je me even laten zien.
Mouseovers gebruiken ALTIJD een scripttaal. Doorgaans is dat javascript, maar VBscipt kan ook voor de M$-lovers

opera heeft een iets andere javascript implementatie dan msie. Waardoor, als hotmail javascript dingen gebruikt voor het selecteren van mailtjes, opera de variabelen die daarmee te maken hebben niet altijd kan zien.

En bij microsoft hebben ze dus niet de moeite genomen om te kijken naar opera, en hun hotmail daarvoor aan te passen... pech voor opera&hotmail gebruikers.

Toch weet ik vrij zeker dat de meeste opera gebruikers wel zoveel verstand van computers hebben dat ze voor hotmail in zo een geval gewoon msie of outlook express pakken... of desnoods netscape.

* 786562 mullah