Abo
  1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › JSFuck: Esoterischer…

Mutig, mutig, eBay!

  1. Thema

Neues Thema Ansicht wechseln


  1. Mutig, mutig, eBay!

    Autor: Trollmagnet 02.02.16 - 19:00

    Einfach so mal jedem erlauben <script> Tags auf die eigene Seite zu klatschen, grenzt an Fahrlässigkeit. Allein schon nicht vertrauenswürdiges HTML so einzuschränken, dass es ungefährlich wird, ist nicht gerade trivial.

    Sollen sie doch Beschreibungen auf Plaintext oder maximal BBCode einschränken! Das würde auch der Übersicht ungemein zuträglich sein.

  2. DAS ist das wesentliche Problem!

    Autor: Elchinator 02.02.16 - 23:08

    Warum ist ein <script>-Tag erlaubt?!? Ohne das würde jegliche Verschleierung komplett ins Leere laufen. Man bräuchte auch keine komplizierten Filter. Text bleibt Text, in jedem Browser. Warum wird Javascript erlaubt, wenn es nur Probleme verursacht und durch eigene Lösungen (BBCode) ersetzbar ist? Was ist der Grund für die Weigerung, das Problem an der Wurzel zu lösen?!?

  3. Re: DAS ist das wesentliche Problem!

    Autor: brathering 02.02.16 - 23:20

    Schaut mal hier: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#XSS_Locator
    Man muss nicht zwingend das triviale Script Tag erlauben um Probleme zu bekommen.

    Informatik-Studium, Security Vorlesung, erster Tag: Blacklists funktionieren nicht <PUNKT>

  4. Re: Mutig, mutig, eBay!

    Autor: _Sascha_ 03.02.16 - 00:06

    eBay ist veraltet, technisch wie auch von den Funktionen her. Sie entwickeln immer wieder etwas neues (drauf), sind aber nicht in der Lage alte Dinge entsprechend zu entfernen oder mit den neuen zu ersetzen. Gutes beispiel dafür ist der Händlershop, man kommt nach an Formulare für Shop-Einstellungen des alten Shops, wenn man den neuen benutzt. Dieser steuert allerdings dann nicht den Shop, sondern dient angeblich nur für die Rechnungen und Lieferscheine.

    Das Problem ist, das wenn eBay den Script-Tag verbietet, viele Artikelbeschreibungen und Shop-Seiten von Händlern plötzlich nicht mehr so komfortabel und funktionell für den Kunden wären. (ähnliche Artikel, gleicher Artikel andere Einstellungen, Produktkonfiguration, Filter, dynamische Übersichten) Dann wäre eBay wirklich unbequem für den Kunden, wie auch für den Händler. Von daher kann ich verstehen das sie den <script> Tag noch zulassen.

    Das beste was eBay machen könnte wäre wie ihr sagt, <script>, <style> und andere Tags verbieten und das gesamte System gegen ein modernes Zeitgemäßes auszutauschen. Aber das wäre eine technischer und finanzieller Aufwand, den bisher noch kein dort verantwortlicher Mensch bereit war und wäre zu tragen.

    Vom Code her ist eBay nämlich ein Monster und keine kleine Anwendung mehr. Das ist das gleiche als wenn wer sagt, das man mal alle Google-Produkte zu einem einzelnen Produkt mergen und modernisieren sollte. (wobei, Google würds noch durchziehen :D )

  5. Re: Mutig, mutig, eBay!

    Autor: Bujin 03.02.16 - 01:32

    ebay... ich hab mal nen Laptop verkauft und der Käufer hat meine gesamte HTML-basierte Beschreibung kopiert. Der hat sogar die Links zu meinen Bildern auf meiner Dropbox verlinkt.. Einen Tag vor Auktionsende hab ich einfach alle Bilder des Laptops gegen Schmuddelbilder getauscht. xD (Naja nicht ganz, waren Memes)

  6. Re: DAS ist das wesentliche Problem!

    Autor: Wildfire 03.02.16 - 07:05

    Elchinator schrieb:
    --------------------------------------------------------------------------------
    > Warum ist ein -Tag erlaubt?!? Ohne das würde jegliche Verschleierung
    > komplett ins Leere laufen. Man bräuchte auch keine komplizierten Filter.
    > Text bleibt Text, in jedem Browser. Warum wird Javascript erlaubt, wenn es
    > nur Probleme verursacht und durch eigene Lösungen (BBCode) ersetzbar ist?
    > Was ist der Grund für die Weigerung, das Problem an der Wurzel zu lösen?!?
    So einfach ist das nicht. HTML ist auch "nur Text". Text der von deinem Browser interpretiert und dargestellt wird.

    Wenn du dem Benutzer erlaubst Text einzugeben und diesen Text dann anschließend in deine Seite einbaust (z.B. hier im Forum), dann musst du diese Eingabe zwangsweise filtern.

    Ebay dürfte Tags und JS zulassen wegen der ganzen Shops. Die würden Sturm laufen wenn sie ihre Angebote nicht mehr selber gestalten dürfen bzw. "aufwerten" können.

  7. Re: DAS ist das wesentliche Problem!

    Autor: Friko44 03.02.16 - 08:33

    Wildfire schrieb:
    --------------------------------------------------------------------------------
    > Wenn du dem Benutzer erlaubst Text einzugeben und diesen Text dann
    > anschließend in deine Seite einbaust (z.B. hier im Forum), dann musst du
    > diese Eingabe zwangsweise filtern.
    >
    Zensuuuuuur! Skandaaaaaaal! ;-)
    *SCNR*

    > Ebay dürfte Tags und JS zulassen wegen der ganzen Shops. Die würden Sturm
    > laufen wenn sie ihre Angebote nicht mehr selber gestalten dürfen bzw.
    > "aufwerten" können.
    >
    Genau das ist der springende Punkt! eBay hat eine völlig veraltete Website, so dass die Bereitstellung der sonst überall schon längst üblichen Marketing-Mittel (z.B Crossselling) in die Hände der Händler gerutscht ist. Und das ist natürlich nur dann möglich, wenn das Scheunentor weit aufgerissen wird und Scripts erlaubt werden.
    Da reicht kein ReDesign, es muss ein völlig neues Web-Konzept her. "Logisch", dass eBay das nicht will. Nur könnte genau diese Entscheidung das Ende von eBay bedeuten.

  8. Re: DAS ist das wesentliche Problem!

    Autor: M.P. 03.02.16 - 08:38

    Jetzt fehlt nur noch eine Klage aufgrund des Urheberrechtes gegen Anleitungen, was man bei seinen Blocker-Plugins einstellen muss, um die Ausführung von Skripten zu verhindern.

    Die Gestaltung einer Ebay-Artikelseite ist ja ein Werk im Sinne des Urheberrechtes.

    BTW: Daß manche der grottenmäßgen Artikelfotos dort auch noch mit Wasserzeichen versehen werden halte ich auch für peinlich....

  9. Re: Mutig, mutig, eBay!

    Autor: Phreeze 03.02.16 - 09:25

    Bujin schrieb:
    --------------------------------------------------------------------------------
    > ebay... ich hab mal nen Laptop verkauft und der Käufer hat meine gesamte
    > HTML-basierte Beschreibung kopiert. Der hat sogar die Links zu meinen
    > Bildern auf meiner Dropbox verlinkt.. Einen Tag vor Auktionsende hab ich
    > einfach alle Bilder des Laptops gegen Schmuddelbilder getauscht. xD (Naja
    > nicht ganz, waren Memes)

    d.h der Käufer deines Laptops hat ihn weiterverkauft? Und da war er sooo dreist deine Sätze zu nehmen? who cares.....

  10. Re: Mutig, mutig, eBay!

    Autor: bofhl 03.02.16 - 09:59

    Das ist eben der Grund, dass Google laufend Re-Writes ihrer Webseiten macht. Statt ständig was an den existierenden Seiten drauf zu basteln werden die alten Seiten komplett weggeworfen und von Vorne neu geschrieben.

  11. Re: Google

    Autor: Missingno. 03.02.16 - 10:19

    Wirklich? Wenn man sich den Code der Google-Suchseite anschaut, sieht das eher wie Spaghetti-Gefrickel aus.

    --
    Dare to be stupid!

  12. Re: Google

    Autor: der_wahre_hannes 03.02.16 - 10:52

    Ach, die paar Zeilen Code, die da im <script> stehen...

  13. Re: Google

    Autor: masterx244 03.02.16 - 11:17

    Das ist deshalb spaghetti da das minified und obfuscated ist und nicht die Originalversion ausm Repo

  14. Re: Google

    Autor: Missingno. 03.02.16 - 11:41

    Der body-Tag hat immer noch das Attribut bgcolor, das ist schon seit Jahren obsolete und hätte bei einem Rewrite verschwinden müssen. Ganz davon abgesehen, dass die Seite ungefähr zwanzig weitere HTML-Fehler enthält, müsste eine so simple Seite vor minified deutlich kürzer sein (und ohne 25KB Javascript auskommen).

    --
    Dare to be stupid!

  15. Re: Google

    Autor: crazypsycho 03.02.16 - 19:48

    Missingno. schrieb:
    --------------------------------------------------------------------------------
    > Der body-Tag hat immer noch das Attribut bgcolor, das ist schon seit Jahren
    > obsolete und hätte bei einem Rewrite verschwinden müssen. Ganz davon
    > abgesehen, dass die Seite ungefähr zwanzig weitere HTML-Fehler enthält,
    > müsste eine so simple Seite vor minified deutlich kürzer sein (und ohne
    > 25KB Javascript auskommen).

    Das mit bgcolor könnte man ja noch mit abwärtskompatiblität zu Uralt-Browser erklären.
    Aber richtig ist, das da viele Fehler drin sind, welche nicht sein müssen.

    Das Javascript ist allerdings notwendig. Erstmal gibt es die Sprachsuche (das Mikro in der Suchleiste). Die läuft über JS.
    Dann springt die Suchleiste nach oben sobald man etwas eintippt.
    Schon beim eintippen wird über Ajax ein Suchrequest ausgeführt (allgemein läuft die Suche über Ajax-Tasks).
    Menu ist auch Javascript.

    Die 25kb sind da vollkommen in Ordnung.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. OEDIV Oetker Daten- und Informationsverarbeitung KG, Bielefeld
  2. Amprion GmbH, Pulheim-Brauweiler
  3. ATP Auto-Teile-Pollath Handels GmbH, Pressath bei Bayreuth
  4. Oxfam Deutschland e.V., Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 349,00€
  2. täglich neue Deals bei Alternate.de
  3. 114,99€ (Release am 5. Dezember)
  4. 127,99€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

Transport Fever 2 angespielt: Wachstum ist doch nicht alles
Transport Fever 2 angespielt
Wachstum ist doch nicht alles

Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
Von Achim Fehrenbach

  1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  3. Bright Memory angespielt Brachialer PC-Shooter aus China

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

  1. Ursula von der Leyen: Von "Zensursula" zur EU-Kommissionspräsidentin
    Ursula von der Leyen
    Von "Zensursula" zur EU-Kommissionspräsidentin

    Nach der "Rede ihres Lebens" hat das Europäische Parlament am Dienstagabend Ursula von der Leyen an die Spitze der EU-Kommission gewählt. Die Christdemokratin will sich in ihrem neuen Amt binnen 100 Tagen für einen Ethik-Rahmen für KI und ambitioniertere Klimaziele stark machen. Den Planeten retten, lautet ihr ganz großer Vorsatz.

  2. Kryptowährung: Facebook möchte Kritik an Libra ausräumen
    Kryptowährung
    Facebook möchte Kritik an Libra ausräumen

    Facebooks geplante Digitalwährung Libra kommt in der Politik nicht gut an. Bei einer Anhörung vor dem US-Senat verteidigt Facebook-Manager David Marcus die Währung. Bundesregierung und Bundesbank wollen sie lieber verhindern.

  3. PC Engine Core Grafx: Konami kündigt drei Versionen der gleichen Minikonsole an
    PC Engine Core Grafx
    Konami kündigt drei Versionen der gleichen Minikonsole an

    In Europa heißt sie PC Engine Core Grafx Mini, für Japan und die USA hat Konami andere Namen und ein anderes Design. Die Retrokiste soll im März 2020 mit rund 50 vorinstallierten Spielen erscheinen. Der Kauf in Deutschland läuft minimal komplizierter ab als üblich.


  1. 20:10

  2. 18:33

  3. 17:23

  4. 16:37

  5. 15:10

  6. 14:45

  7. 14:25

  8. 14:04