※ 引述《blackbing (blackbing)》之铭言： : ※ 引述《chris (ψ纯粹透明ζ低调上等！)》之铭言： : 对programer来说，会觉得「某些」动作是很危险的， : 但对一般使用者来说，「方便」才是最重要的， : 除了剪贴簿资料IE和FF的行为有差异之外， : 还有FF没办法直接显示本地端的图片， : 也就是无法做「预览上传图片」的功能， : 这也是FF因为安全性的考量而无法显示， : 但是毕竟以往称霸的browser是IE， : 能在IE使用的功能，竟然就无法在FF上使用， : 还多了个可怕的「安全性提醒」(对使用者来说)， : 但这方面的议题很吊诡的情况却是， : 透过flash来解决， : 有人说IE可以存取使用者剪贴簿很「可怕」， : 那flash不就更可怕， : 有很多brower由於安全性议题预设不能用的功能， : flash都可以办的到， : 例如AJAX上传，最佳的方式也是透过flash来取得上传资讯， : 上传进度等等， : 那会不会有人说，「哇靠～flash太可怕了，连这些东西都能取得」。 : 但无疑的，能让使用者更方便的事情也是programer所在追求的事情， : IE和FF有所出入的安全性议题，很多都能透过flash来办到， : 有时候会觉得...那FF到底在坚持什麽劲XD 因为无知就是力量啊 使用者如果不能了解这些资料被窃取的危险，我们瞎操心也没有用， 所以线上游戏版那些user才会人心惶惶，连开个官网都要兢兢业业。 我觉得告知是种礼貌，使用者的教育训练更是 PG 的责任。-_- 说实在的，如果pg不能为使用者把关，难道要等发生事故再来把关吗？ 再说到你举的例子，Flash真的不能说是安全啊， 最近（五月底左右）才刚爆发近年来罕见规模的安全性issue， google一下 Flash漏洞就知道我在说什麽了。 ──────────────────────────────── 而且这次据报是大量自动化程式扫出来的结果， 那些觉得使用者不会钻漏洞的人该注意了... 这刚好就是两大资安漏洞的结合，一个是sql injection， 另一个就是Flash日前被发现的安全性issue。 前者的肇因就是pg的认知不足，或者是贪图方便所写的code， 个人觉得写出这种code的pg跟间接造成伤害其实没什麽两样。 後者的肇因就是「方便」议题惹的祸。 再讨论到方便的同时，请不要忽视过去的严重资安issue。 使用者是无知的，你可以选择训练他们， 或者摸摸鼻子去找其他管道解决。 比方说我就看过某学校为了选课系统不显示是否要安装activeX， 而在选课说明要学生把他们校方网站加入安全的网域里面的， 这也是一种方法。 ──────────────────────────────── 认证、同意制度就很重要，以java applet为例， 没有使用者同意之前只要牵扯到io之类的部份全部不能动， 对使用者来讲就是相对的有保障， 对user来讲你只是几千个程式的pg中的一个，一个好人不代表有几千个好人。 ──────────────────────────────── 当然，无知的确可以是一种力量，只是未免太消极了些。 -- I am a person, and I am always thinking . Thinking in love , Thinking in life , Thinking in why , Thinking in worth. I can't believe any of what , I am just thinking then thinking , but worst of all , most of mine is thinking not actioning... --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.134.27.68 ※ 编辑: TonyQ 来自: 220.134.27.68 (06/09 18:58)