Den Chinesen kenn ich ja, aber wo im Pazifik finde ich ein Schwein? Irgendwas mit "pig"? Werden auch Anbieter aus dem Ausland zensiert? Nur zum Test nenne ich hier mal Ramnode. Nicht dass ich den empfehle.
versuchs mit pork statt pig - super anbieter, gerade für Exoten wie .cx, .ac, ..
bzw. keine ahnung ob die auch zensiert werden - sicher ist sicher haha
versuchs mit pork statt pig - super anbieter, gerade für Exoten wie .cx, .ac, ..
bzw. keine ahnung ob die auch zensiert werden - sicher ist sicher haha
Ja, danke. Hab die Schweinesemmel gefunden. Oink!
Und wieder mal ein Beweis, dass JavaScript bzw. die ganzen modernen APIs eine unkalkulierbare Gefahr darstellen. Sorry, not sorry.
Die 1990er haben angerufen, sie wollen ihre hoffnungslos überholte Sichtweise zurück.
Im Ernst, das ist uninformiertes Stammtischgerede. Das Problem ist nicht JavaScript oder Web-APIs, sondern ein in Chromium implementiertes zweifelhaftes Verhalten, sei es nun bewusst oder versehentlich. Ich habe mir die Diskussion im Chromium-Bugtracker nicht bis zum Ende durchgelesen. Fakt ist zum einen, dass JavaScript ein integraler Bestandteil der Webplattform ist, wie HTML und CSS, und zum anderen, dass Sicherheitslücken immer wieder auch in ganz anderen Teilen der Webplattform existieren. Auch CSS, XSLT oder sogar manipulierte Bilder sind keine so extrem seltenen Angriffspunkte. Ich empfehle, sich mal damit zu befassen, was für Sicherheitslücken Browserhersteller mit jedem ihrer Updates beheben. Die CVEs sind ja öffentlich.
Ja. Das heißt z.B. deine Passwörter gehen ebenso raus wie private Keys für Bitcoin Wallets. Oder die Zieladresse einer Überweisung wird angepasst.
Nein, das stimmt nicht. Zum Auslesen ist eine Berechtigung erforderlich.
Und das kann man afaik im Firefox auch - da muss halt davor ein Klick auf ein Element erfolgen oder so.
Das ist der entscheidende Unterschied: User-Interaktion. Es ist vollkommen in Ordnung, den Browser etwas in die Zwischenablage schreiben zu lassen, wenn der Nutzer dies explizit wünscht. Die Sicherheitslücke aus Chromium existiert in Firefox jedenfalls nicht. Und Firefox erlaubt außerdem nur das Schreiben von Text via writeText() in die Zwischenablage. Die write()-Funktion zum Einfügen beliebiger Inhalte, welche in Chromium ebenfalls betroffen ist, ist in Firefox standardmäßig deaktiviert und muss vom Nutzer selbst erst über eine versteckte Einstellung aktiviert werden.
Klingt wie ein gut informierter und recherchierter Beitrag.
Können wir jetzt zum Stammtischgerede zurück? 
Alles anzeigenDie 1990er haben angerufen, sie wollen ihre hoffnungslos überholte Sichtweise zurück.
Im Ernst, das ist uninformiertes Stammtischgerede. Das Problem ist nicht JavaScript oder Web-APIs, sondern ein in Chromium implementiertes zweifelhaftes Verhalten, sei es nun bewusst oder versehentlich. Ich habe mir die Diskussion im Chromium-Bugtracker nicht bis zum Ende durchgelesen. Fakt ist zum einen, dass JavaScript ein integraler Bestandteil der Webplattform ist, wie HTML und CSS, und zum anderen, dass Sicherheitslücken immer wieder auch in ganz anderen Teilen der Webplattform existieren. Auch CSS, XSLT oder sogar manipulierte Bilder sind keine so extrem seltenen Angriffspunkte. Ich empfehle, sich mal damit zu befassen, was für Sicherheitslücken Browserhersteller mit jedem ihrer Updates beheben. Die CVEs sind ja öffentlich.
Nein, das stimmt nicht. Zum Auslesen ist eine Berechtigung erforderlich.
Das ist der entscheidende Unterschied: User-Interaktion. Es ist vollkommen in Ordnung, den Browser etwas in die Zwischenablage schreiben zu lassen, wenn der Nutzer dies explizit wünscht. Die Sicherheitslücke aus Chromium existiert in Firefox jedenfalls nicht. Und Firefox erlaubt außerdem nur das Schreiben von Text via writeText() in die Zwischenablage. Die write()-Funktion zum Einfügen beliebiger Inhalte, welche in Chromium ebenfalls betroffen ist, ist in Firefox standardmäßig deaktiviert und muss vom Nutzer selbst erst über eine versteckte Einstellung aktiviert werden.
Hier kannst du es ausprobieren:
Ein echtes Paste unattended via Javascript. https://jsfiddle.net/zm490d6a/
Was aber der brave Chrome macht ist, dass er um Erlaubnis fragt.
Ich weiß zwar nicht, was das mit meinem Beitrag zu tun haben soll, aber: Chrome fragt nach und dann wird die Zwischenablage gelesen. Das ist auch in Ordnung. Die Sicherheitslücke betrifft das Schreiben in die Zwischenablage, was ohne Nachfrage geschieht, nicht das Lesen. In Firefox funktioniert die Demo überhaupt nicht, was nicht verwunderlich ist, denn das Lesen aus der Zwischenablage ist in Firefox ausschließlich Erweiterungen mit entsprechender Berechtigung vorbehalten, die dann von Mozilla auch daraufhin überprüft werden, dass die API nicht missbräuchlich benutzt wird. Außer auch hier wieder: man ändert als Nutzer eine versteckte Einstellung. Dann gibt es die Funktion auch für Websites. Aber auch dann muss man das Einfügen erst explizit bestätigen.
Auf meinem (arbeits) Mac mit MacOS mit Chrome scheint das Problem nicht zu bestehen;
https://webplatform.news/
schmeißt keine Meldung.
Auf meinem (arbeits) Mac mit MacOS mit Chrome scheint das Problem nicht zu bestehen; https://webplatform.news/ schmeißt keine Meldung.
Dann scheint das Betriebssystem da einzugreifen (oder es wird eine spezielle Version von Chrome verwendet?); unter Linux mit „Version 105.0.5195.52 (Offizieller Build) (64-Bit)“ (Ubuntu, Paket "google-chrome-stable") von Chrome ist der Fehler noch reproduzierbar.
Die Sicherheitslücke aus Chromium existiert in Firefox jedenfalls nicht. Und Firefox erlaubt außerdem nur das Schreiben von Text via writeText() in die Zwischenablage.
Von reddit:
go to about:config and set dom.events.asyncClipboard.clipboardItem and dom.events.testing.asyncClipboard to truedann geht das auch unter FF
Gestern 16 Uhr einen Server bestellt, 16:27 geliefert, 16:30 Anruf von "Netcup GmbH" 🤔🤔
Auf meinem (arbeits) Mac mit MacOS mit Chrome scheint das Problem nicht zu bestehen;
https://webplatform.news/schmeißt keine Meldung.
Chrome unter macOS ist definitiv betroffen. Ich nutze selbst macOS und sehe das Problem. Eine Meldung erscheint auch keine, deine Zwischenablage wird durch Aufruf der Seite überschrieben. Du musst den Inhalt irgendwo einfügen, um ihn zu sehen.
dann geht das auch unter FF
Richtig. Deswegen schrieb ich ja:
Firefox standardmäßig deaktiviert und muss vom Nutzer selbst erst über eine versteckte Einstellung aktiviert werden.
Das ändert die Situation grundlegend, denn man kann nicht von einer Sicherheitslücke sprechen, wenn Nutzer bewusst versteckte Einstellungen aktivieren, welche eine unvollständige Implementierung schützen. Mozilla arbeitet in den letzten Monaten aktiv an der Verbesserung der Clipboard-API. Siehe Abhängigkeiten von:
https://bugzilla.mozilla.org/show_bug.cgi?id=1619251
Solange Mozilla das Feature nicht aktiviert, gilt das als gibt es nicht. Umgekehrt würde das Gleiche auch für Chrome-Features gelten, welche hinter einer versteckten Einstellung implementiert sind und vom Benutzer ganz bewusst aktiviert werden müssen. Man muss einfach davon ausgehen können, dass jemand, der sowas verstellt, ganz genau weiß, was er oder sie macht und was die Risiken sind. Man muss genau das ja sogar explizit bestätigen:
Ich empfehle, sich mal damit zu befassen, was für Sicherheitslücken Browserhersteller mit jedem ihrer Updates beheben. Die CVEs sind ja öffentlich.
Ein Großteil der sicherheitsrelevanten Bugs wäre ohne JS gar nicht relevant. Oder hat sich diese Statistik mittlerweile wieder verschoben?
Glaubst Du ernsthaft, dass viele User nur zum Spaß NoScript oder uBlock Origin verwenden? Dass man dafür nicht nur potentielle Security-Bugs als Grund hat, ist schon klar.
Mit meinem letzten Beitrag bin ich dennoch übers Ziel hinaus geschossen, der war inhaltlich wohl nicht ganz korrekt. Entschuldigung. Zu meiner Meinung, dass JS das moderne Flash und nicht ungefährlich ist, stehe ich aber trotzdem.
Hay,
JS das moderne Flash und nicht ungefährlich ist
sehe ich nicht so. Flash war eine einzelne Firma, die es verbrochen hat.
Und bei den allgemeinen Sprachgefahren (sei es ein Buffer over/underrun unter C oder log4J) ist JavaScript auch nicht so weit vorne dabei. Unfähige JS Programmierer (nicht die Programmierer der Sprache, sondern die Programmierer, die JavaScript nutzen - oder eine JS Injection ermöglichen - weil aus einem Formular ungeprüft in eine Datenbank und von da ungeprüft wieder zum Client - Backend-Programmiersprache austauschbar) sind die Hauptgefahr, danach die Browserimplementierung. Wir werden ggf. bald noch mehr bei serverseitiger Implementierung (node.js) sehen, dann wirds in der Tat gefährlich.
CU, Peter
Und bevor ich für meine JS-Aussagen in der Luft zerrissen werde, hier etwas zum Schmunzeln:
https://www.commitstrip.com/en/2014/08/14/front-end-vs-back-end/
😄
Ein Großteil der sicherheitsrelevanten Bugs wäre ohne JS gar nicht relevant. Oder hat sich diese Statistik mittlerweile wieder verschoben?
Was Firefox betrifft, dessen Security Advisories ich alle lese, gehe ich da nicht mit. Wie gesagt, auch andere Teile der Webplattform zeigen in aller Regelmäßigkeit ihre Schwachstellen. Und ehrlich gesagt ergibt es für mich auch nicht viel Sinn, das überhaupt so zu trennen. Es gibt eine Webplattform. JavaScript ist genauso ein integraler Bestandteil davon wie HTML, CSS oder Bilder.
Im Übrigen kann JavaScript sogar zu einem insgesamt sichereren System beitragen. Der PDF-Betrachter ist dafür ein hervorragendes Beispiel, wenn der des Browsers dafür genutzt wird statt beispielsweise der Adobe Reader mit all seinen System-Privilegien, die ein JS-basierter Betrachter nicht hat, und der Geschichte an Sicherheitsproblemen, die an Adobe haftet.
Glaubst Du ernsthaft, dass viele User nur zum Spaß NoScript oder uBlock Origin verwenden? Dass man dafür nicht nur potentielle Security-Bugs als Grund hat, ist schon klar.
uBlock Origin ist in erster Linie ein Content-Blocker und wird von den allermeisten Nutzern zum Blockieren von Werbung und/oder Cookie-Consent-Dialogen verwendet. Welche Ironie in diesem Zusammenhang übrigens, dass uBlock Origin vor gar nicht so langer Zeit erst eine Reihe von Sicherheitslücken hatte, worüber Nutzer-Passwörter via CSS-Injection-Attacke gestohlen werden konnten.
Und NoScript nutzen nicht mehr sehr viele Menschen. Bei Firefox kommt es nur noch auf 320.000 aktive Nutzer. Im Vergleich hat uBlock Origin 17 Mal mehr aktive Nutzer. Und jetzt zieh mal die aktiven Nutzer des Tor-Browsers ab, wo NoScript standardmäßig installiert ist.
Aber das ist für mich auch überhaupt nicht wichtig. Ich bin mir sicher, dass sich jeder, der ein bestimmtes Add-on nutzt, irgendetwas dabei denkt. Das macht die Denkweise des jeweiligen Nutzers halt nicht automatisch richtig oder zielführend. Dennoch schön, dass es die Erweiterung gibt, denn jeder soll sein System bitte soweit einschränken, wie er oder sie sich damit wohl fühlt. Da habe ich überhaupt kein Problem mit. Was meine Arbeit in der Webentwicklung betrifft, werden diese Nutzer allerdings auch nicht berücksichtigt, den Mehraufwand zahlt mir kein Kunde.
Es ist halt auch Tatsache, dass vor vielen Jahren ein bestimmtes Bild über JavaScript gezeichnet worden ist, welches sich bei manchen noch bis heute hartnäckig hält. Aber seit dem hat sich die Rolle von JavaScript als Technologie dramatisch verändert. Lautete damals der Tenor noch, dass JavaScript direkt aus der Hölle kommt, ist das heute längst nicht mehr der allgemeine Tenor und JavaScript als Technologie aus dem modernen Web nicht mehr wegzudenken.
Zu meiner Meinung, dass JS das moderne Flash und nicht ungefährlich ist, stehe ich aber trotzdem.
JavaScript ist nicht per se gefährlich. Aber natürlich kann JavaScript auch Schwachstellen haben. Wirklich gefährlich sind Sicherheitslücken. Und diese muss der Browserhersteller schließen, egal in welchem Teil der Webplattform sie sind. Das geschieht in der Regel bei den großen Browserherstellern schnell. Wem es um Sicherheit geht, der sollte zusehen, sein System immer aktuell zu halten und nicht permanent mit Administratorrechten unterwegs zu sein. Das sind die zwei Themen, welche tatsächlich die größte Gefahr ausmachen, wenn sie nicht befolgt werden. Und Finger weg von Schlangenöl-Software, die Sicherheit verspricht und selbst überhaupt erst schwerwiegende Sicherheitslücken ins System bringt. Sicherheitslücken im Browser finden sich ansonsten immer mehr als genug in der CSS-Implementierung, durch manipulierte Grafiken, Speicherkorrumptionen, etc. Wenn schon Angst, dann bitte konsequent und nicht nur auf JavaScript bezogen. Denn das entbehrt jeder sachlichen Grundlage. Und bei aller Liebe, aber der Vergleich mit Flash ergibt überhaupt keinen Sinn.
Gestern 16 Uhr einen Server bestellt, 16:27 geliefert, 16:30 Anruf von "Netcup GmbH" 🤔🤔
Sie wollten nur schauen, ob du den Server brav pflegst und schon den root user abgedreht hast.
Unfähige JS Programmierer (nicht die Programmierer der Sprache, sondern die Programmierer, die JavaScript nutzen - oder eine JS Injection ermöglichen - weil aus einem Formular ungeprüft in eine Datenbank und von da ungeprüft wieder zum Client - Backend-Programmiersprache austauschbar) sind die Hauptgefahr, danach die Browserimplementierung.
Wobei es dem User egal sein wird, wer es verbrochen hat. Ob das nun ein Problem in der Browserimplementierung oder in JS geschriebenem Code ist, macht für den User am Ende keinen großen Unterschied. Dass man beides nicht unbedingt der Sprache anlasten kann, ist schon richtig.
Und bei aller Liebe, aber der Vergleich mit Flash ergibt überhaupt keinen Sinn.
Meine Gedanken zu Flash:
Ist es bei JS (im Browser) wirklich so anders?
Auf der Gegenseite ist JS nicht nur schlecht. Positive Dinge, die mir spontan einfallen:
Ich respektiere, dass viele User und Entwickler JS als das ultimative Web-Erlebnis sehen. Ich finde es dennoch schade, dass ohne JS bald gar nichts mehr funktioniert, wenn es so weiter geht. 
Hay,
... wenig bis keinen Mehrwert hat. Wozu muss z.B. eine Auswahlliste mit JS gebaut werden, wenn <select>/<option> ebenfalls reichen würden? ...
Steilvorlage... damit habe ich mich in den letzten Wochen beschäftigt, unter anderem habe ich dieses tagging-Control entwickelt.
Image1.png
Ich möchte sehen, wie man ein solches Control (mit Datenanbindung, Suche, Mehrspaltigkeit, clientbasierter PlausiCheck bei hinzufügen von Tags/Löschen von Tags) per option/select baut... Alternative wären vier multi-select Drop-Downs gewesen und von der UI wäre es dann ... naja... 1994?
CU, Peter
Ich habe zwei GMail Konten, beide sollen Notifications auf mein Android 12 schicken.
Es tauchen aber immer nur neue Mails auf dem primären GMail Konto auf meinem Homescreen auf.
Ich bin schon alle Einstellungen (App wie System) durchgegangen.
Hat jemand Ideen oder Tipps?
Hat immer prima funktioniert.
Alles anzeigenIch habe zwei GMail Konten, beide sollen Notifications auf mein Android 12 schicken.
Es tauchen aber immer nur neue Mails auf dem primären GMail Konto auf meinem Homescreen auf.
Ich bin schon alle Einstellungen (App wie System) durchgegangen.
Hat jemand Ideen oder Tipps?
Hat immer prima funktioniert.
Welche Mail verwendetst du?
Benachrichtigungen hängen ja primär mit der App zusammen.
Sonst schon überprüft ob Background Sync an jst und ob die Benachrichtigungen für das Konto an sind - man kann ja inzwischen bei Andriod auch nur bestimmte Benachrichtigungen erlauben.
