[guran]

Fick följande meddelande igår, som handlar om att aldrig använda länkar för utförande av kritiska åtgärder, då länkar kan klickas automatisk. Automatiskt klickad länk kan ske på en länk som t.ex. raderar något i din databas. Använd knappar i stället.

"Everyone makes mistakes, even Google. Mistakes are what beta
programs are for. One mistake in the beta release of Google Web
Accelerator [1] (GWA) last week is proving to be a valuable
reminder for Web developers.

Among other things [2], Google Web Accelerator speeds up your
browsing experience by scouring pages you visit for links and
quietly preloading them in the background in case you decide to
click one of them. Can you spot the problem?

A misguided design trend of avoiding buttons in favour of
hyperlinks in Web applications is the problem. Web applications
increasingly include links that delete records, confirm actions,
and take all manner of sensitive and potentially irreversible
actions. And here comes GWA, ready to click them all for you
automatically!

So whose fault is this? If you believe 37signals [3], whose
just-launched Backpack [4] application fell prey to link-happy
GWA last week, it's Google's fault [5] for not anticipating the
side-effects of its link prefetching. If you believe Google,
it's developers' fault [6] for not complying with Web standards.

According to the W3C [7], hyperlinks and forms that use the HTTP
GET method of submission should only be requests for content or
information (such as a search). Actions--and especially actions
for which the user will be held accountable--should always be
performed using HTTP POST requests, which in most cases means
clicking a submit button, not a hyperlink.

Developers who use ASP.NET, for example, need to think twice
before using the deceptively simple LinkButton control, which
simulates a form button using a hyperlink. Who knew the innocent
hyperlink could cause so much trouble?

The trend away from buttons and towards hyperlinks in Web design
is therefore a dangerous one. Before using a hyperlink, designers
should ask themselves: what if this link gets clicked
automatically?

Interestingly, some of the conversations that have sprung out of
the GWA prefetching mess have started to look at Web application
security issues like cross-site scripting (XSS) with fresh eyes.
Read on for the low-down on these issues."

[Robert]

Så fort en användare har loggat in / autentiserat sig i ett webbaserat system på något sätt så anser jag att det är användarens ansvar att inte ha mjukvara installerad på sin klient som klickar på alla de länkar han har fått upp på skärmen. Via autentiseringen har man etablerat en länk mellan systemet och en unik användare och på så sätt eliminerat det övriga "slaskiga" internet med alla dess robotar och övrig artificiell besökare/surfare.

Anser jag att jag har gjort fel som har använt en textlänk istället för en knapp?? Nej, en människa kan väl läsa på knappen/texten och sedan fatta sitt beslut. Felet ligger helt och hållet hos de automatiserade "intelligenta" program dessa användare har installerat.

Att ha kritiska funktioner "öppna" ut mot webben och att dessa skulle hittas av tex sökrobotar ser jag inte som ett problem (för vem har detta?), utan snarare det jag skrev ovan.

[guran]

Robert, du måste vara medveten om att de flesta som använder sig av Internet långt ifrån har kunskaper om virus, spionprogram, ActiveX, java, autmatiska länkklickningar m.m.

Om jag driver t.ex. ett webbhotell och ett klick på en länk t.ex. skulle rader en kunds databas, så anser jag att jag är delaktig i den processen. Jag måste ta hänsyn till det.

Jag ska erkänna att jag själv har länkar till kritiska funktioner. Turligt nog så har jag alltid en verifikationsfråga efter dem med ja- och nej-knapp. Möjligen kan en sådan länk existera om den följs av en verifiering.

[Standout]

Exempelvis Web Host Manager som används i kombination med Cpanel har en del funktioner som startar om servern bara genom att klicka på en länk.

[Robert]

Citat:

Originally posted by guran@May 12 2005, 10:35
Robert, du måste vara medveten om att de flesta som använder sig av Internet långt ifrån har kunskaper om virus, spionprogram, ActiveX, java, autmatiska länkklickningar m.m.

Om jag driver t.ex. ett webbhotell och ett klick på en länk t.ex. skulle rader en kunds databas, så anser jag att jag är delaktig i den processen. Jag måste ta hänsyn till det.

Javisst vet jag det, det är därför en person bara ska kunna förstöra för sig själv. Om du, som admin, istället har en applikation som vill klicka på alla dina "radera databas"-länkar så då är ansvaret ditt, även om jag tror att du, i din position, har kunskap nog att inte använda sådana hära plugins.

Jag kan aldrig varken ta ansvar för om en person har virus, trojaner eller gudars vet vad installerat på sin maskin, eller för den delen förutspå vilken teknik som kommer att användas av denna persons mjukvaror. Jag kan erbjuda att skriva i klartext vad som händer när man klickar på en länk/knapp då jag också förutsätter att det är en människa som klickar på densamma (authentiseringen har ju berättat detta för mig).

Det är som att sätta upp en skylt där det står "Rör ej, nymålat". Folk kommer ändå att peta där...

Det verkar nästan som att folk försöker ursäkta sig för att Google, som är enda anledningen till att denna diskussion florerar, har gjort en totalblunder i dubbel bemärkelse.

[grazzy]

En sak som jag inte riktigt förstått angående det här, GWA hämtar länkarna enligt prefetch-methoden, men som jag har förstått det måste man i tex Firefox sätta en 'rel="prefetch"' för att firefox / mozilla skall använda detta. Varför i jössenamn bryter GWA mot detta?

Helt tokigt korkat :(

[grazzy]

Som jag förstår det när jag läser http://webaccelerator.google.com/webmasterhelp.html#2 så hämtar bara GWA de länkar man faktiskt har angett med rel=prefetch? Eller hämtar den alla länkar?

[nicclas]

Citat:

Originally posted by grazzy@May 12 2005, 18:10
Som jag förstår det när jag läser http://webaccelerator.google.com/webmasterhelp.html#2 så hämtar bara GWA de länkar man faktiskt har angett med rel=prefetch? Eller hämtar den alla länkar?

Använder du IE så för-laddar den t.ex alla länkar som du håller muspekaren över. Det finns en inställning som gör att den visar när/vilka länkar den förladdar.

I Firefox förladdar den bara länkar med "prefetch" på, tycker jag det verkar som. Uppsnabbningen i Firefox bygger bara på cache:ning och uppsnabbad "parallell" nerladdning av t.ex bilder som Google "vet" kommer att behövas för att visa en specifik webbsida.

Jag har avinstallerat mitt GWA :-)

[grazzy]

Fasiken vad risigt :/

Det blir ju rätt tokigt, kolla tex bara länkarna som finns här på forumet. Det är ju inte direkt det enda IPB-forumet på internet... Logga ut-länkar, bevaka-länkar etc.. :/

[Robert]

Citat:

Originally posted by grazzy@May 12 2005, 19:42
Fasiken vad risigt :/

Det blir ju rätt tokigt, kolla tex bara länkarna som finns här på forumet. Det är ju inte direkt det enda IPB-forumet på internet... Logga ut-länkar, bevaka-länkar etc.. :/

Tycker problemet med att andra kan få upp ens egna sidor (sidor som kräver inloggning) är mycket värre! h34r: