Komentarze do: Bójmy się CSS?! http://www.webaudit.pl/blog/2007/bojmy-sie-css/?utm_source=rss&utm_medium=rss&utm_campaign=rss Użyteczność, marketing, technologie internetowe Fri, 25 May 2012 09:33:37 +0000 hourly 1 http://wordpress.org/?v= Autor: Grzegorz Wolański http://www.webaudit.pl/blog/2007/bojmy-sie-css/#comment-16640 Grzegorz Wolański Sun, 08 Jul 2007 23:17:43 +0000 http://www.webaudit.pl/blog/2007/bojmy-sie-css/#comment-16640 Textile byłoby niegłupim wyjściem Textile byłoby niegłupim wyjściem

]]> Autor: Tyhagara http://www.webaudit.pl/blog/2007/bojmy-sie-css/#comment-16638 Tyhagara Sun, 08 Jul 2007 13:03:04 +0000 http://www.webaudit.pl/blog/2007/bojmy-sie-css/#comment-16638 Wydaje mi się że dość skutecznym rozwiązaniem będzie aby użytkownicy sami zgłaszali moderacji wszystko to, co wyda im się podejrzane. Można im to ułatwić wprowadzając mechanizm np: powiadamiania, że dany link jest wychodzący z serwisu, czyli może być potencjalnie niebezpieczny dla użytkownika. Wydaje mi się że dość skutecznym rozwiązaniem będzie aby użytkownicy sami zgłaszali moderacji wszystko to, co wyda im się podejrzane. Można im to ułatwić wprowadzając mechanizm np: powiadamiania, że dany link jest wychodzący z serwisu, czyli może być potencjalnie niebezpieczny dla użytkownika.

]]> Autor: wzs http://www.webaudit.pl/blog/2007/bojmy-sie-css/#comment-16636 wzs Fri, 06 Jul 2007 11:41:57 +0000 http://www.webaudit.pl/blog/2007/bojmy-sie-css/#comment-16636 Oczywiście wiem, że to raczej nierealne- to tylko taka sugestia człowieka, którego wygląd aukcji przeważnie drażni i wystarczyłyby mu wersje tekstowe + zdjęcia produktu :) Oczywiście wiem, że to raczej nierealne- to tylko taka sugestia człowieka, którego wygląd aukcji przeważnie drażni i wystarczyłyby mu wersje tekstowe + zdjęcia produktu :)

]]> Autor: Robert Drózd http://www.webaudit.pl/blog/2007/bojmy-sie-css/#comment-16635 Robert Drózd Fri, 06 Jul 2007 07:27:20 +0000 http://www.webaudit.pl/blog/2007/bojmy-sie-css/#comment-16635 wzs, myślę, że za to stwierdzenie wielu sprzedawców by Cię zamordowało. ;-) każde ograniczenie możliwości prezentacji to mniejsze szanse na wyróżnienie i realizację w ramach allegro jakiegoś programu wizerunkowego. W końcu dla wielu sprzedawców aukcje to tylko inny kanał sprzedaży; dlaczego ograniczać im to jak pokazują swoją ofertę? wzs, myślę, że za to stwierdzenie wielu sprzedawców by Cię zamordowało. ;-) każde ograniczenie możliwości prezentacji to mniejsze szanse na wyróżnienie i realizację w ramach allegro jakiegoś programu wizerunkowego. W końcu dla wielu sprzedawców aukcje to tylko inny kanał sprzedaży; dlaczego ograniczać im to jak pokazują swoją ofertę?

]]> Autor: wzs http://www.webaudit.pl/blog/2007/bojmy-sie-css/#comment-16633 wzs Thu, 05 Jul 2007 23:39:58 +0000 http://www.webaudit.pl/blog/2007/bojmy-sie-css/#comment-16633 IMHO tworzenie wyrafinowanego wyglądu dla aukcji jest zupełnie zbędne. Więcej szablonów + uproszczony markup IMHO tworzenie wyrafinowanego wyglądu dla aukcji jest zupełnie zbędne.
Więcej szablonów + uproszczony markup

]]> Autor: porneL http://www.webaudit.pl/blog/2007/bojmy-sie-css/#comment-16629 porneL Wed, 04 Jul 2007 21:52:11 +0000 http://www.webaudit.pl/blog/2007/bojmy-sie-css/#comment-16629 Pozwalanie na HTML jest w ogóle niebezpieczne -- jest pierdyliard różnych atrybutów on-cośtam, pseudo-URL-i i IE-owych dziwactw, które mogą pozwolić na odpalenie skryptu modyfikującego DOM. Na sam CSS jest częściowe, ale proste zabezpieczenie: kod użytkownika wrzucić w element z <strong><code>position:relative; overflow:hidden</code></strong> i z tego "uciec" mogą tylko elementy z position:fixed (które trzeba niestety wyfiltrować). Pozostaje jeszcze potem problem ograniczenia arkusza CSS użytkownika do określonego obszaru (żeby np. przez content:url() nie podmienił części strony) -- do tego trzeba by parsować i przerabiać selektory. Natomiast dowolny, potencjalnie wrogi HTML+CSS+JS da się opanować tylko poprzez umieszczenie go w <strong>ramce serwowanej z innej domeny</strong>. Pozwalanie na HTML jest w ogóle niebezpieczne — jest pierdyliard różnych atrybutów on-cośtam, pseudo-URL-i i IE-owych dziwactw, które mogą pozwolić na odpalenie skryptu modyfikującego DOM.

Na sam CSS jest częściowe, ale proste zabezpieczenie: kod użytkownika wrzucić w element z position:relative; overflow:hidden i z tego „uciec” mogą tylko elementy z position:fixed (które trzeba niestety wyfiltrować).

Pozostaje jeszcze potem problem ograniczenia arkusza CSS użytkownika do określonego obszaru (żeby np. przez content:url() nie podmienił części strony) — do tego trzeba by parsować i przerabiać selektory.

Natomiast dowolny, potencjalnie wrogi HTML+CSS+JS da się opanować tylko poprzez umieszczenie go w ramce serwowanej z innej domeny.

]]> Autor: Marcin (Ktos) http://www.webaudit.pl/blog/2007/bojmy-sie-css/#comment-16627 Marcin (Ktos) Wed, 04 Jul 2007 18:21:38 +0000 http://www.webaudit.pl/blog/2007/bojmy-sie-css/#comment-16627 Ups, tam miało być <code><button /></code> oraz <code>&lt input type="button" /></code>, zapomniałem, że Wordpress interpretuje kod. Ups, tam miało być <button /> oraz &lt input type="button" />, zapomniałem, że WordPress interpretuje kod.

]]> Autor: Marcin (Ktos) http://www.webaudit.pl/blog/2007/bojmy-sie-css/#comment-16626 Marcin (Ktos) Wed, 04 Jul 2007 18:20:12 +0000 http://www.webaudit.pl/blog/2007/bojmy-sie-css/#comment-16626 A ja jednak myślę, że Rafał myślał, jak i ja pierwotnie, że jest to <code></code>, a nie obrazek (btw, właśnie, dlaczego by tego o <code></code> czy <code></code> nie oprzeć?). I <em>chyba</em> filtrowanie position: absolute; było by wystarczające, bo wszelkie inne paddingi czy marginy raczej spowodują rozjechanie się szablonu, a tutaj chodzi o całkowitą anonimowość. Raczej. A ja jednak myślę, że Rafał myślał, jak i ja pierwotnie, że jest to , a nie obrazek (btw, właśnie, dlaczego by tego o  czy nie oprzeć?).

I chyba filtrowanie position: absolute; było by wystarczające, bo wszelkie inne paddingi czy marginy raczej spowodują rozjechanie się szablonu, a tutaj chodzi o całkowitą anonimowość. Raczej.

]]>