Besser weniger JavaScript

Nachdem ich ja jetzt mein MacBook bei Ebay versteigere (nur um das nochmal anzumerken), hatte ich viel Gelegenheit, das Ebay-Interface zu benutzen.

Eigentlich sollten gerade Unternehmen wie Ebay, Amazon, Microsoft, etc., ein besonders großes Interesse daran haben, dass das Internet „sicher“ wird – zumindest sollen nur die Leute an die Informationen kommen, von denen sie das wollen, z.B. die Werbekunden.

Eine Sicherheitslücke die immer wieder mal ausgenutzt wird wären da zum Beispiel nicht richtig eingeschränkte Cookies. Es ist nicht gut, durch das Internet zu gehen, und alle Cookies anzunehmen. Es gibt gute Cookie-Filter. Wie wäre es zum Beispiel, wenn man einfach „*.microsoft.com“ freigeben müsste, bzw. „*.msn.de“, um sich bei MSN einzuloggen? Können die nicht Subdomains anlegen, die auf ihre Werbekunden weiterleiten?

Noch viel schlimmer als Cookies sind Scripts. Die modernen „AJAX“-Interfaces. Aktuell musste ich mich ja mit dem Interface von Ebay herumärgern. Erstmal wieder das Problem mit Cookies. Es gibt ebay.com und ebay.de – gut, das sei ja verziehen. Dann gibt es aber noch ebaystatic.com, ebayobjects.com, und weiß der Geier was mir jetzt noch alles nicht einfällt. Immer wieder hat irgendwas gefailed, immer wieder wurden meine Formulardaten zurückgesetzt, weil ich nicht wusste, für welche Domains ich Cookies und JavaScript freigeben musste. Die Integration von PayPal war dann nochmal ein riesen Generve. Am Ende hatte ich einem ganzen Haufen von Domains Scripting und Cookies erlaubt. Und ich frage mich: Wofür? Wie wäre es denn stattdessen mit static.ebay.com, de.ebay.com, objects.ebay.com? Dann müsste ich *.ebay.com und ebay.de freigeben, und gut wäre es.

Außerdem verstehe ich bei diesem Interface ohnehin nicht, wozu es JavaScript verwendet. Einzig der HTML-Editor scheint JS wirklich sinnvoll einzusetzen. Ansonsten werden irgendwelche Werte On-The-Fly aktualisiert – klar, das ist möglicherweise „komfortabler“, aber einen „Wert neu Berechnen“-Button zu Clicken sollte man jedem Ebay-Nutzer zutrauen können.

Das Problem hierbei ist: Wo ein komplexes Interface ist, sind auch einen haufen komplexe Bugs. Man hat zum Beispiel die Möglichkeit, in seinen Angeboten HTML-Code anzugeben. Es muss nur irgendeiner der Webmaster irgendwann mal etwas übersehen, und schon können Leute ihre eigenen Scripts einschleusen, und so schlimmstenfalls an Session-IDs und sonstige Daten der Nutzer kommen. Deshalb wäre es eigentlich doch sehr sinnvoll, sein Interface lieber auf IFrames aufzubauen, dem Nutzer ein paar Buttonclicks mehr zuzumuten, und stattdessen diesem zu empfehlen, JavaScript zu deaktivieren, vor Allem, da JavaScript keinen wirklich erheblichen Vorteil liefert.

Aber wenn schon JavaScript, dann bitte doch nur von der selben Domain. Also meinetwegen *.ebay.com. Lediglich den Nutzer-Content kann man in eine eigene Domain packen, für den man dann JavaScript in seinem Browser deaktivieren kann.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: