1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › JSFuck: Esoterischer…

Mutig, mutig, eBay!

  1. Thema

Neues Thema Ansicht wechseln


  1. Mutig, mutig, eBay!

    Autor: Trollmagnet 02.02.16 - 19:00

    Einfach so mal jedem erlauben <script> Tags auf die eigene Seite zu klatschen, grenzt an Fahrlässigkeit. Allein schon nicht vertrauenswürdiges HTML so einzuschränken, dass es ungefährlich wird, ist nicht gerade trivial.

    Sollen sie doch Beschreibungen auf Plaintext oder maximal BBCode einschränken! Das würde auch der Übersicht ungemein zuträglich sein.

  2. DAS ist das wesentliche Problem!

    Autor: Elchinator 02.02.16 - 23:08

    Warum ist ein <script>-Tag erlaubt?!? Ohne das würde jegliche Verschleierung komplett ins Leere laufen. Man bräuchte auch keine komplizierten Filter. Text bleibt Text, in jedem Browser. Warum wird Javascript erlaubt, wenn es nur Probleme verursacht und durch eigene Lösungen (BBCode) ersetzbar ist? Was ist der Grund für die Weigerung, das Problem an der Wurzel zu lösen?!?

  3. Re: DAS ist das wesentliche Problem!

    Autor: brathering 02.02.16 - 23:20

    Schaut mal hier: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#XSS_Locator
    Man muss nicht zwingend das triviale Script Tag erlauben um Probleme zu bekommen.

    Informatik-Studium, Security Vorlesung, erster Tag: Blacklists funktionieren nicht <PUNKT>

  4. Re: Mutig, mutig, eBay!

    Autor: _Sascha_ 03.02.16 - 00:06

    eBay ist veraltet, technisch wie auch von den Funktionen her. Sie entwickeln immer wieder etwas neues (drauf), sind aber nicht in der Lage alte Dinge entsprechend zu entfernen oder mit den neuen zu ersetzen. Gutes beispiel dafür ist der Händlershop, man kommt nach an Formulare für Shop-Einstellungen des alten Shops, wenn man den neuen benutzt. Dieser steuert allerdings dann nicht den Shop, sondern dient angeblich nur für die Rechnungen und Lieferscheine.

    Das Problem ist, das wenn eBay den Script-Tag verbietet, viele Artikelbeschreibungen und Shop-Seiten von Händlern plötzlich nicht mehr so komfortabel und funktionell für den Kunden wären. (ähnliche Artikel, gleicher Artikel andere Einstellungen, Produktkonfiguration, Filter, dynamische Übersichten) Dann wäre eBay wirklich unbequem für den Kunden, wie auch für den Händler. Von daher kann ich verstehen das sie den <script> Tag noch zulassen.

    Das beste was eBay machen könnte wäre wie ihr sagt, <script>, <style> und andere Tags verbieten und das gesamte System gegen ein modernes Zeitgemäßes auszutauschen. Aber das wäre eine technischer und finanzieller Aufwand, den bisher noch kein dort verantwortlicher Mensch bereit war und wäre zu tragen.

    Vom Code her ist eBay nämlich ein Monster und keine kleine Anwendung mehr. Das ist das gleiche als wenn wer sagt, das man mal alle Google-Produkte zu einem einzelnen Produkt mergen und modernisieren sollte. (wobei, Google würds noch durchziehen :D )

  5. Re: Mutig, mutig, eBay!

    Autor: Bujin 03.02.16 - 01:32

    ebay... ich hab mal nen Laptop verkauft und der Käufer hat meine gesamte HTML-basierte Beschreibung kopiert. Der hat sogar die Links zu meinen Bildern auf meiner Dropbox verlinkt.. Einen Tag vor Auktionsende hab ich einfach alle Bilder des Laptops gegen Schmuddelbilder getauscht. xD (Naja nicht ganz, waren Memes)

  6. Re: DAS ist das wesentliche Problem!

    Autor: Wildfire 03.02.16 - 07:05

    Elchinator schrieb:
    --------------------------------------------------------------------------------
    > Warum ist ein -Tag erlaubt?!? Ohne das würde jegliche Verschleierung
    > komplett ins Leere laufen. Man bräuchte auch keine komplizierten Filter.
    > Text bleibt Text, in jedem Browser. Warum wird Javascript erlaubt, wenn es
    > nur Probleme verursacht und durch eigene Lösungen (BBCode) ersetzbar ist?
    > Was ist der Grund für die Weigerung, das Problem an der Wurzel zu lösen?!?
    So einfach ist das nicht. HTML ist auch "nur Text". Text der von deinem Browser interpretiert und dargestellt wird.

    Wenn du dem Benutzer erlaubst Text einzugeben und diesen Text dann anschließend in deine Seite einbaust (z.B. hier im Forum), dann musst du diese Eingabe zwangsweise filtern.

    Ebay dürfte Tags und JS zulassen wegen der ganzen Shops. Die würden Sturm laufen wenn sie ihre Angebote nicht mehr selber gestalten dürfen bzw. "aufwerten" können.

  7. Re: DAS ist das wesentliche Problem!

    Autor: Friko44 03.02.16 - 08:33

    Wildfire schrieb:
    --------------------------------------------------------------------------------
    > Wenn du dem Benutzer erlaubst Text einzugeben und diesen Text dann
    > anschließend in deine Seite einbaust (z.B. hier im Forum), dann musst du
    > diese Eingabe zwangsweise filtern.
    >
    Zensuuuuuur! Skandaaaaaaal! ;-)
    *SCNR*

    > Ebay dürfte Tags und JS zulassen wegen der ganzen Shops. Die würden Sturm
    > laufen wenn sie ihre Angebote nicht mehr selber gestalten dürfen bzw.
    > "aufwerten" können.
    >
    Genau das ist der springende Punkt! eBay hat eine völlig veraltete Website, so dass die Bereitstellung der sonst überall schon längst üblichen Marketing-Mittel (z.B Crossselling) in die Hände der Händler gerutscht ist. Und das ist natürlich nur dann möglich, wenn das Scheunentor weit aufgerissen wird und Scripts erlaubt werden.
    Da reicht kein ReDesign, es muss ein völlig neues Web-Konzept her. "Logisch", dass eBay das nicht will. Nur könnte genau diese Entscheidung das Ende von eBay bedeuten.

  8. Re: DAS ist das wesentliche Problem!

    Autor: M.P. 03.02.16 - 08:38

    Jetzt fehlt nur noch eine Klage aufgrund des Urheberrechtes gegen Anleitungen, was man bei seinen Blocker-Plugins einstellen muss, um die Ausführung von Skripten zu verhindern.

    Die Gestaltung einer Ebay-Artikelseite ist ja ein Werk im Sinne des Urheberrechtes.

    BTW: Daß manche der grottenmäßgen Artikelfotos dort auch noch mit Wasserzeichen versehen werden halte ich auch für peinlich....

  9. Re: Mutig, mutig, eBay!

    Autor: Phreeze 03.02.16 - 09:25

    Bujin schrieb:
    --------------------------------------------------------------------------------
    > ebay... ich hab mal nen Laptop verkauft und der Käufer hat meine gesamte
    > HTML-basierte Beschreibung kopiert. Der hat sogar die Links zu meinen
    > Bildern auf meiner Dropbox verlinkt.. Einen Tag vor Auktionsende hab ich
    > einfach alle Bilder des Laptops gegen Schmuddelbilder getauscht. xD (Naja
    > nicht ganz, waren Memes)

    d.h der Käufer deines Laptops hat ihn weiterverkauft? Und da war er sooo dreist deine Sätze zu nehmen? who cares.....

  10. Re: Mutig, mutig, eBay!

    Autor: bofhl 03.02.16 - 09:59

    Das ist eben der Grund, dass Google laufend Re-Writes ihrer Webseiten macht. Statt ständig was an den existierenden Seiten drauf zu basteln werden die alten Seiten komplett weggeworfen und von Vorne neu geschrieben.

  11. Re: Google

    Autor: Missingno. 03.02.16 - 10:19

    Wirklich? Wenn man sich den Code der Google-Suchseite anschaut, sieht das eher wie Spaghetti-Gefrickel aus.

    --
    Dare to be stupid!

  12. Re: Google

    Autor: der_wahre_hannes 03.02.16 - 10:52

    Ach, die paar Zeilen Code, die da im <script> stehen...

  13. Re: Google

    Autor: masterx244 03.02.16 - 11:17

    Das ist deshalb spaghetti da das minified und obfuscated ist und nicht die Originalversion ausm Repo

  14. Re: Google

    Autor: Missingno. 03.02.16 - 11:41

    Der body-Tag hat immer noch das Attribut bgcolor, das ist schon seit Jahren obsolete und hätte bei einem Rewrite verschwinden müssen. Ganz davon abgesehen, dass die Seite ungefähr zwanzig weitere HTML-Fehler enthält, müsste eine so simple Seite vor minified deutlich kürzer sein (und ohne 25KB Javascript auskommen).

    --
    Dare to be stupid!

  15. Re: Google

    Autor: crazypsycho 03.02.16 - 19:48

    Missingno. schrieb:
    --------------------------------------------------------------------------------
    > Der body-Tag hat immer noch das Attribut bgcolor, das ist schon seit Jahren
    > obsolete und hätte bei einem Rewrite verschwinden müssen. Ganz davon
    > abgesehen, dass die Seite ungefähr zwanzig weitere HTML-Fehler enthält,
    > müsste eine so simple Seite vor minified deutlich kürzer sein (und ohne
    > 25KB Javascript auskommen).

    Das mit bgcolor könnte man ja noch mit abwärtskompatiblität zu Uralt-Browser erklären.
    Aber richtig ist, das da viele Fehler drin sind, welche nicht sein müssen.

    Das Javascript ist allerdings notwendig. Erstmal gibt es die Sprachsuche (das Mikro in der Suchleiste). Die läuft über JS.
    Dann springt die Suchleiste nach oben sobald man etwas eintippt.
    Schon beim eintippen wird über Ajax ein Suchrequest ausgeführt (allgemein läuft die Suche über Ajax-Tasks).
    Menu ist auch Javascript.

    Die 25kb sind da vollkommen in Ordnung.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ADMIRAL ENTERTAINMENT GmbH, Bingen
  2. CONTAG AG, Berlin
  3. Universität Passau, Passau
  4. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-30%) 41,99€
  2. ab 1€


Haben wir etwas übersehen?

E-Mail an news@golem.de