ActiveX, document.all und andere "Vorteile" von IE - was: Jscript erkennen, welcher b

[tsseh]

ActiveX, document.all und andere "Vorteile" von IE - was: Jscript erkennen, welcher b

Könntest Du bitte ein Beispiel für "Inkompatibilität" nennen? Mir fällt spontan nichts ein.

document.all["myID"] ist eins! Kann der FF überhaupt ActiveX - ohne Plugins selbstverständlich? Und mir fallen noch ein paar mehr ein.

 

[anna55]

AW: Jscript erkennen, welcher browser aktiv + bedinung

document.all ist kein offizieller Webstandard:
FAQ:Seitenanzeige - FirefoxWiki

Du bist doch sicher auch der Meinung, dass wir uns doch sinnvollerweise an die offiziellen Standards halten und nicht einer üblen Programmierung das Wort reden wollen.

 

[tsseh]

AW: Jscript erkennen, welcher browser aktiv + bedinung

document.all ist kein offizieller Webstandard

Hat doch keiner behauptet, hätte es aber werden können, wobei mir persöhnlich getElementByID sogar besser gefällt - kann der IE aber auch.

Du bist doch sicher auch der Meinung, dass wir uns doch sinnvollerweise an die offiziellen Standards halten und nicht einer üblen Programmierung das Wort reden wollen.

Warum übel? document.all war lange vor einem Standard. Es ist nicht ratsam dieses Konstrukt zu benutzen, aber doch nicht gleich übel. Wenn ich will, daß meine Seite nur mit dem IE browseable ist, würde ich damit anfangen.

 

[Albu]

AW: Jscript erkennen, welcher browser aktiv + bedinung

Kann der FF überhaupt ActiveX - ohne Plugins selbstverständlich? Und mir fallen noch ein paar mehr ein.

Das meinst Du jetzt aber nicht Ernst, oder? ActiveX, DAS Haupteinfalltor für Viren, Trojaner und anderes Gesocks. Wegen immer neuerer Lücken in diversen ActiveX Komponenten muss man doch fast wöchentlich neue Kill-Bits setzen.

Es steht Dir natürlich frei Webtechnik aus dem letzten Jahrtausend einzusetzen, die Mitglieder dieses Forums arbeiten aber lieber mit aktuellen Technologien auf dem neuesten Stand der Technik. Unter anderem ist es dabei verpönt mehrere verschiedene Versionen ein und derselben Seite zu erstellen, weil jede eine andere Browser- oder Internet-Angucker-Klasse bedient.
Statt dich also zu beschweren, dass sich keiner mit Deinen rückständigen und überholten Konzepten befasst, solltest Du vielleicht überdenken, ob Dein Weg tatsächlich der richtige ist - zumal die ganzen Profis Dir davon (energisch) abraten.

 

[tsseh]

AW: Jscript erkennen, welcher browser aktiv + bedinung

Das meinst Du jetzt aber nicht Ernst, oder? ActiveX, DAS Haupteinfalltor für Viren, Trojaner und anderes Gesocks. Wegen immer neuerer Lücken in diversen ActiveX Komponenten muss man doch fast wöchentlich neue Kill-Bits setzen.

Und Javascripr ist kein Einfalltor für Viren und Trojaner? Und Java (obwohl Java wohl schon tot ist)? Uns das Netz überhaupt? Alles gefährlich, allse abschalten? Ich habe SQL noch vergessen.

Es steht Dir natürlich frei Webtechnik aus dem letzten Jahrtausend einzusetzen, die Mitglieder dieses Forums arbeiten aber lieber mit aktuellen Technologien auf dem neuesten Stand der Technik.

Wobei ich jetzt ActiveX nicht als Webtechnik und als Technik aus dem letzten Jahrtausend schon gar nicht bezeichnen würde.

Statt dich also zu beschweren, dass sich keiner mit Deinen rückständigen und überholten Konzepten befasst, solltest Du vielleicht überdenken, ob Dein Weg tatsächlich der richtige ist - zumal die ganzen Profis Dir davon (energisch) abraten.

Ich beschwere mich nicht.

 

[Albu]

AW: Jscript erkennen, welcher browser aktiv + bedinung

Und Javascripr ist kein Einfalltor für Viren und Trojaner? Und Java (obwohl Java wohl schon tot ist)? Uns das Netz überhaupt? Alles gefährlich, allse abschalten?

Java hat eine Sandbox und kann aus dem Web keine lokalen Dateien erzeugen oder darauf zugreifen.
Und mit Javascript alleine kann man auch schon lange keine Viren mehr herunterladen und automatisch installieren oder ausführen.

ActiveX dagegen ist per Definition unsicher, ein Sicherheitskonzept so gut wie nicht vorhanden. Und von der Crossplattform-Fähigkeit dieser Untechnik brauchen wir gar nicht reden (Nein, ich meine nicht die Lauffähigkeit auf Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP, Windows 2003, Windows Mista, Windows 2008, usw. denn das ist eine einzige Plattform mit verschiedenen Software-Releases. Versuch doch mal Deine geliebten ActiveXe auf einem Unix-System zu starten, oder von mir aus auch nur ein Mac, von anderen Systemen ganz zu schweigen.).

Wobei ich jetzt ActiveX nicht als Webtechnik und als Technik aus dem letzten Jahrtausend schon gar nicht bezeichnen würde.

ActiveX wurde 1996 eingeführt, und nach meiner Zeitrechnung liegt 1996 im letzten Jahrtausend.
Im Übrigen habe ich ActiveX auch nicht als Webtechnik bezeichnet, obwohl es die einzigste Möglichkeit darstellt den Internet Explodierer zu erweitern. Selbst bei Ajax kommt der Internet Explodierer nicht ohne ActiveX aus. Man kann es also nichtmal aus Sicherheitsgründen ausstellen, weil dann sämtliche Web2.0 Seiten nicht mehr gehen. Bleibt nur ein alternativer Browser, und da stellt sich dann die Frage warum überhaupt wieder zum Internet Explodierer zurück, wenn die Lücke des Tages nach einem dreiviertel jahr endlich gestopft ist?
Beide Aussagen ("Webtechnik" und "letztes Jahrtausend") bezogen sich eher auf Deine Browserweiche, document.all und die Notwendigkeit zwei Dateien für eine Seite zu bauen

 

[tsseh]

AW: Jscript erkennen, welcher browser aktiv + bedinung

Java hat eine Sandbox und kann aus dem Web keine lokalen Dateien erzeugen oder darauf zugreifen.

Da sag ich mal nichts zu, oder meinst du das ernst? Trojan.ByteVerify - Symantec.com

Und mit Javascript alleine kann man auch schon lange keine Viren mehr herunterladen und automatisch installieren oder ausführen.

Aber ich kann immer noch ein ActiveX-Object laden.

ActiveX dagegen ist per Definition unsicher, ein Sicherheitskonzept so gut wie nicht vorhanden.

Per Definition? Welches Sicherheitskonzept? Willst du 100%ige Sicherheit dann mußt du schon alle Schreibzugriffe verbieten, schade nur, daß dann alle SW-Entwickler arbeitslos sind, aber viele Probleme wären auch gelöst

Und von der Crossplattform-Fähigkeit dieser Untechnik brauchen wir gar nicht reden

Nein, schade daß Unix-Systeme kein COM können.

Im Übrigen habe ich ActiveX auch nicht als Webtechnik bezeichnet, obwohl es die einzigste Möglichkeit darstellt den Internet Explodierer zu erweitern.

Stimmt nicht ganz, die Plugins funktionieren mit Sicherheit über COM, funktionieren aber auch mit deaktiviertem "ActiveX".

Man kann es also nichtmal aus Sicherheitsgründen ausstellen, weil dann sämtliche Web2.0 Seiten nicht mehr gehen. Bleibt nur ein alternativer Browser

Beim IE7 kann man das, obwohl der mir nicht so gefällt(als Nutzer) wie der IE6. Und trotz aktiviertem JS, ActiveX und dem Anzeigen von Bildern, hat mir noch niemand mein Konto leergeräumt(ja, ich mache sogar Onlinebanking), kein Trojaner hat meine Katze geschwängert und ich habe kein Ekzem bekommen.

Beide Aussagen ("Webtechnik" und "letztes Jahrtausend") bezogen sich eher auf Deine Browserweiche, document.all und die Notwendigkeit zwei Dateien für eine Seite zu bauen

Ich würde sogar mehr nehmen.

 

[Albu]

AW: Jscript erkennen, welcher browser aktiv + bedinung

Da sag ich mal nichts zu, oder meinst du das ernst? Trojan.ByteVerify - Symantec.com

Als Beispiel bietest Du also einen Trojaner, der durch eine Sicherheitslücke des gleichen Herstellers, der sich auch die ActiveXe ausgedacht hat, auf das System kommen kann?
Wer ernsthaft Java-Applets einsetzt, wird sicherlich nicht auf die kaputte, unvollständige, auf einer Uralt-Spezifikation beruhende, und nicht mehr weiterentwickelte VM von Microsoft bauen.

Aber ich kann immer noch ein ActiveX-Object laden.

Mit Javascript alleine bedeutet reines Javascript. Wenn man mit JS ein ActiveX laden muss, um einen Fehler / Lücke auszunutzen, dann setzt man Javascript und ActiveX ein, aber nicht Javascript _alleine_.

Per Definition? Welches Sicherheitskonzept? Willst du 100%ige Sicherheit dann mußt du schon alle Schreibzugriffe verbieten, schade nur, daß dann alle SW-Entwickler arbeitslos sind, aber viele Probleme wären auch gelöst

Ohh, Weltuntergang. Wenn man ActiveXe in einer Sandbox laufen lassen könnte, die vergleichbar mit der der Java VM ist, dann wäre alles kein Problem. In einem privilegierten Kontainer z.B. einer normalen Desktop-Applikation (d.h. außerhalb des Internet Explodierers) könnte das ActiveX weiterhin ungestört "wüten". Da ActiveX aber nativen Maschinencode enthalten geht das eben nicht so einfach. Das erklärt auch die Schwierigkeit / Unmöglichkeit die Dingers sicher zu kriegen. Wer ein ActiveX installiert der muss dem Programmierer 100% vertrauen, weil der erhält volle Kontrolle über den Rechner, sobald das Ding geladen / gestartet wird. Hinzu kommt, dass die meisten Benutzer als super-privielgierter Benutzer, sprich Administrator, unterwegs sind. Also Vollzugriff auf alles, direkt aus dem Browser raus.

Nur weil eine Technologie gewissen Einschränkungen unterliegt, heißt das nicht, dass ein einziger Entwickler arbeitslos wird. So werden zum Beispiel immer noch Java Entwickler gesucht und eingestellt. Anzeigen für ActiveX Entwickler habe ich aber schon lange keine gesehen. Vielleicht sind die auch schon alle arbeitslos....

Und was das Sicherheitskonzept von ActiveX angeht: es gibt keins. Jede Anwendung kann alle ActiveX Komponenten benutzen, die auf dem System installiert sind. Nur bei DCOM kann man zumindest einschränken, wer auf eine Komponente von außen zugreifen darf. Das wars dann aber auch schon so ziemlich.

Nein, schade daß Unix-Systeme kein COM können.

Jetzt sind die Unix-Systeme schuld, dass der Hersteller echte Plattformunabhängigkeit nicht kennt.
Vielleicht wollten die anderen Hersteller diesen Mist natürlich auch nicht haben, weil er latent unsicher ist.

Stimmt nicht ganz, die Plugins funktionieren mit Sicherheit über COM, funktionieren aber auch mit deaktiviertem "ActiveX".

Und diese Plugins kann ich als Web-Entwickler (bei deaktiviertem ActiveX) ansteuern?? Ich denke nicht.

Beim IE7 kann man das, obwohl der mir nicht so gefällt(als Nutzer) wie der IE6. Und trotz aktiviertem JS, ActiveX und dem Anzeigen von Bildern, hat mir noch niemand mein Konto leergeräumt(ja, ich mache sogar Onlinebanking), kein Trojaner hat meine Katze geschwängert und ich habe kein Ekzem bekommen.

Die meisten Viren, Trojaner und dergleichen benötigen die aktive Mitarbeit der Komponente "ahnungsloser Benutzer". Wenn man gewisse Regeln befolgt, kann man sicherlich auch mit dem Internet Explodierer rumgondeln und wird nicht infiziert - die Wahrscheinlichkeit und der Nervenkitzel sind aber wesentlich höher, als bei einem Browser.

 

[ein schlauer]

AW: Jscript erkennen, welcher browser aktiv + bedinung

Die meisten Viren, Trojaner und dergleichen benötigen die aktive Mitarbeit der Komponente "ahnungsloser Benutzer". Wenn man gewisse Regeln befolgt, kann man sicherlich auch mit dem Internet Explodierer rumgondeln und wird nicht infiziert -

Ich denke noch gerne an den WMF Exploit zurück. Obwohl ich den IE nur sporadisch nutze und natürlich immer mit abgeschaltetem JS, war der Trojaner schneller drauf als man piep sagen konnte.

Übrigens war der Ausgangspunkt die Aussage, dass das Fehlen von ActiveX ein Zeichen von Inkompatibilität wäre, was sicher als Witz gemeint war, wenn auch kein Guter.

Wer tatsächlich meint, das Fehlen einer proprietären Technik wäre ein Zeichen von Inkompatibilität, weiß nicht wozu Browser eigentlich gedacht sind. Aber seine Inkompetenz hat er schon mit der Äußerung über document.all gezeigt.

 

[tsseh]

AW: Jscript erkennen, welcher browser aktiv + bedinung

Beenden wir das Ganze, es gab und gibt in Java und Javascript Sicherheitslücken, und wird sie immer geben, damit muß man halt leben. Wer was anderes behauptet, wiegt sich im trügerischem Gefühl der Sicherheit. Seit dem sicheren Browser Firefox fühlen sich ja sowieso alle Nutzer unangreifbar.
Würde man ActiveX immer in einer Sandbox laufen lassen, könnte man auch gleich Java nehmen. Das jede Anwendung alle ActiveX Komponenten benutzen kann ist doch ein gutes Konzept. Und mit Einschränkungen meine ich, daß du schon deinen Rechner aus lassen mußt, um vollständige Sicherheit zu haben. Und was macht dann der Java Entwickler? Wobei ich mir auch nicht vorstellen kann, daß Java Entwickler für Webseitenentwicklung gesucht werden, sonst fallen die Einschränkungen wieder weg und ich kann richtig was machen, wie bei ActiveX.

Und diese Plugins kann ich als Web-Entwickler (bei deaktiviertem ActiveX) ansteuern??

Ähh ansteuern? Plugins? Plugins sind meiner Ansicht nach Erweiterungen für den Nutzer, nicht für Scripte, sonst sind wir wieder bei Platformunabhängigkeit und dann kann ich auch gleich ActiveX nehmen.

 

[ein schlauer]

AW: Jscript erkennen, welcher browser aktiv + bedinung

Der Punkt bleibt nach wie vor, wie du auf deine seltsame und falsche ursprüngliche Aussage kommst. Warum ist ActiveX ein Zeichen von Inkompatibilität? Zu was? Safari, Opera, x-beliebiger anderer Browser ausser dem IE oder Mac, Linux, x-beliebiges anderes OS ausser windows....
Was heißt für dich Kompatibel?

 

[tsseh]

AW: Jscript erkennen, welcher browser aktiv + bedinung

Ich denke noch gerne an den WMF Exploit zurück. Obwohl ich den IE nur sporadisch nutze und natürlich immer mit abgeschaltetem JS, war der Trojaner schneller drauf als man piep sagen konnte.

Funktioniert sogar ohne ActiveX. Kannst du dir sowas im FF nicht vorstellen?

Übrigens war der Ausgangspunkt die Aussage, dass das Fehlen von ActiveX ein Zeichen von Inkompatibilität wäre, was sicher als Witz gemeint war, wenn auch kein Guter.

Ich fand den gut, sehr sogar

Wer tatsächlich meint, das Fehlen einer proprietären Technik wäre ein Zeichen von Inkompatibilität, weiß nicht wozu Browser eigentlich gedacht sind.

Das ist die Definition von inkompatibel, einer unterstützt was, der Andere nicht! Und als proprietär würde ich die Technik nicht bezeichnen. Aber ich bin ja sowieso nicht so schlau wie du.

 

[tsseh]

AW: Jscript erkennen, welcher browser aktiv + bedinung

Der Punkt bleibt nach wie vor, wie du auf deine seltsame und falsche ursprüngliche Aussage kommst. Warum ist ActiveX ein Zeichen von Inkompatibilität? Zu was? Safari, Opera, x-beliebiger anderer Browser ausser dem IE oder Mac, Linux, x-beliebiges anderes OS ausser windows....
Was heißt für dich Kompatibel?

Ging es nicht um die Kompatibilität zw. FF und IE? Kompatibilität (Technik) – Wikipedia

 

[ein schlauer]

AW: Jscript erkennen, welcher browser aktiv + bedinung

Funktioniert sogar ohne ActiveX. Kannst du dir sowas im FF nicht vorstellen?

Du hast dir die Seite durchgelesen? Der IE ist der einzige Browser gewesen wo dieser Exploit ungefragt ausgeführt wurde, alle anderen haben wenigstens eine Nachfrage gesetellt.

Das ist die Definition von inkompatibel, einer unterstützt was, der Andere nicht! Und als proprietär würde ich die Technik nicht bezeichnen. Aber ich bin ja sowieso nicht so schlau wie du.

OK, dann haben wir eine andere Definition von kompatibel. Für mich bedeutet es austauschbar, für dich ist es, es muss so funktioneren wie im IE. Und dass ActiveX nicht nur unter Windows läuft war mir neu, aber ich kenne micht nicht damit aus und habe auch kein Problem damit, sowas zuzugeben, im gegensatz zu manch anderen die ihr Unwissen krampfhaft versuchen zu überspielen.

 

[ein schlauer]

AW: Jscript erkennen, welcher browser aktiv + bedinung

[EDIT]OK, ich habe mich geirrt. Auch wenn wir nicht Wissen worum es dem OP tatsächlich ging, seine Fragestellung war diese. Meine Behauptung war falsch.

 

[Albu]

AW: Jscript erkennen, welcher browser aktiv + bedinung

Das jede Anwendung alle ActiveX Komponenten benutzen kann ist doch ein gutes Konzept.

Nicht fürs Web.

Wobei ich mir auch nicht vorstellen kann, daß Java Entwickler für Webseitenentwicklung gesucht werden, sonst fallen die Einschränkungen wieder weg und ich kann richtig was machen, wie bei ActiveX.

Schlag mal eine aktuelle c't oder ix auf, und guck mal die Stellenangebote durch, z.B. Der Spiegel sucht jemanden mit Java Erfahrung für Webentwicklung. Ich konnte auf die schnelle keine Anzeige finden, die sich mit ActiveX Entwicklung beschäftigt.

Ähh ansteuern? Plugins? Plugins sind meiner Ansicht nach Erweiterungen für den Nutzer, nicht für Scripte, sonst sind wir wieder bei Platformunabhängigkeit und dann kann ich auch gleich ActiveX nehmen.

Es geht um die Erweiterung für Webentwickler (dies ist schließlich ein Forum für solche) und nicht um Gadgets, die ein Benutzer sich noch in seinen Browser reinladen kann, die aber keine erweiterte Funktionalität für den Webentwickler zur Verfügung stellen. Ich hatte es nicht explizit dazu geschrieben, da es offensichtlich war, welche Erweiterungen ich meinte. Man kann es natürlich auch einfach bewusst rumdrehen und falsch verstehen, um von einem verlorenen Posten abzulenken.

 

[cybaer]

AW: Jscript erkennen, welcher browser aktiv + bedinung

document.all["myID"] ist eins!

Ein extrem schlechtes!

1. Nur der IE 4 ist auf all zwingend angewiesen. Du codest noch für den IE 4? Also dann ist all wohl das geringste Problem. Beim IE 5.x ist es ggf. für einen Workaround in einem speziellen Fall nötig. Dieser Fall dürfte nicht vorliegen.
2. Mozilla kennt all sehr wohl. Es wurde explizit eingeführt (wie auch in andere gängige Browser), weil viiiieeele Hobbyprogrammierer nur für den IE gecodet haben, als der noch 98% Marktanteil hatte.
3. Zumindest die Opera-Programmierer überlegen, all wieder zu entfernen. Denn der IE hat einen deutlich geringeren Marktanteil, standardkonforme Programmierung ist stark im Kommen, all ist faktisch auch auf dem IE >4 überflüssig, MS geht auch beim IE zukünftig in Richtung Standard.

Kann der FF überhaupt ActiveX - ohne Plugins selbstverständlich? Und mir fallen noch ein paar mehr ein.

Kompatibel zu ActiveX? Zur Sicherheit wurde schon einiges gesagt. Jeder Admin, der nur ein wenig Plan hat, deaktiviert ActiveX wenn möglich, bzw. sorgt, mit einigem Aufwand, dafür, daß trotz ActiveX das System nicht kompromittiert wird - und hofft.

Und: Um ActiveX zu nutzen (oder nicht), ist keine allg. Browserweiche eforderlich (wie meistens). Man fragt halt ab, ob der Browser ActiveX unterstützt. Man fragt i.d.R. immer ab, ob ein Browser eine gewünschte Technik unterstützt. (Fast) niemals fragt man den Browser ab, um daraus zu folgern, er würde eine bestimmte Technik unterstützen. Das kann sich, in alle Richtungen, nämlich ganz schnell ändern ...

Aber IMHO verwechselst Du kompatibel mit proprietär?!

Du hast also noch bessere Beispiele?

 

[tsseh]

AW: Jscript erkennen, welcher browser aktiv + bedinung

Es geht um die Erweiterung für Webentwickler (dies ist schließlich ein Forum für solche) und nicht um Gadgets, die ein Benutzer sich noch in seinen Browser reinladen kann, die aber keine erweiterte Funktionalität für den Webentwickler zur Verfügung stellen. Ich hatte es nicht explizit dazu geschrieben, da es offensichtlich war, welche Erweiterungen ich meinte. Man kann es natürlich auch einfach bewusst rumdrehen und falsch verstehen, um von einem verlorenen Posten abzulenken.

Is ja wieder gut, gibts sowas für den FF? Wie greife ich darauf aus Javascript zu?

Du hast also noch bessere Beispiele?

Die Besten hab ich schon genannt, aber es gibt noch mehr. z.B obj.name = "name".

 

[cybaer]

AW: Jscript erkennen, welcher browser aktiv + bedinung

Würde man ActiveX immer in einer Sandbox laufen lassen, könnte man auch gleich Java nehmen.

Nein.

Ziel proprietärer Technik ist auch, sie den Mitbewerbern vorenthalten zu können, bzw. ihre Nutzung für Mitbewerber zu erschweren. Dies dient der Schaffung/dem Erhalt eines Monopols, und der verbesserten Einnahmen (User, die auf MS-Produkte erstmal angewiesen sind - zu Bedingungen die MS stellt, und Mitbewerber, die Lizenzpflichtig sind - zu Bedingungen, die MS stellt -, oder die vom Markt komplett ferngehalten werden, bzw. denen der Markteintritt erschwert wird).

Daß ActiveX da "mehr kann", ist nur eine Seite der Medaille.

Sicher: MS wollte explizit den Programmierern volle Kontrolle über das Wirtssystem geben. Das ist, für sich genommen, ein Wettbewerbsvorteil.

Dieser Vorteil wird erkauft mit dem Nachteil der Datenunsicherheit. Jedem User, dem sichere Daten am Herz liegen (und glaub mir: in der Industrie reden wir von hochsensiblen Firmendaten und hochteuren Produktionsabläufen, nicht von den Fotos des letztjährigen FKK-Urlaubs deiner Familie) und dem das bewußt ist, wird hier auch nur im Ansatz sich einem Risiko aussetzen wollen.

Das Problem: Dieses Bewußtsein ist (immer noch) arg wenig ausgeprägt - auch wenn es wächst ...

...sowohl bei den Anwendern, als auch den Entscheidern, als auch bei MS.

 

[Albu]

AW: Jscript erkennen, welcher browser aktiv + bedinung

Is ja wieder gut, gibts sowas für den FF? Wie greife ich darauf aus Javascript zu?

Ich denke Du weißt immer noch nicht, was ich eigentlich meinte.
Gut hier kommen Beispiele: Flash, Java, Media Player, VRML, SVG (wobei SVG von richtigen Browsern schon fast als Standardumfang angesehen wird, der Internet Explodierer benötigt dafür aber nach wie vor ein Plugin - ich bräuchte es eigentlich nicht zu erwähnen, es ist natürlich ein ActiveX), usw.
Wie man diese als Webentwickler anspricht findest Du in der Suchmaschine Deines Vertrauens.