Názory k článku České weby jsou uživatelsky příjemná bezpečnostní katastrofa

Jak mohu přihlásit web k posouzení vaší odbornou porotou a kolik to stojí? Nikde na webu webtop100 jsem tuto informaci nenašel.

Rozmístění tabulkou je čistě prakticky lepší než pomocí CSS. V případě tabulky dokáže 99% kodérů v 99% případů vypotit HTML, které v 99% nastavení (zvětšení, velikost fontu...) 99% prohlížečů (konzole, mobily, historické počítače...) není totálně rozpadlé (2 prvky přes sebe, nedoscrollovatelná oblast, klikání na odkaz jinde než je podsvícený text, ...). V případě CSS se tohle nedá říci ani omylem. Tam to v 99% případů funguje tak maximálně na stejné verzi defaultně nastaveného firefoxu se stejným rozlišením obrazovky, jako měl kodér. A to ještě za (samozřejmě nesplněného) předpokladu, že síť funuje na 100% - viz veselé stránky s nenačteným CSS.

Taky zboznuju kusy textu za koncem obrazovky nebo framu, na ktere nelze nascrollovat a nelze je precist, buttony ktere jsou napul za krajem obrazovky nebo videt nejsou vubec, 2 texty protistene do sebe takze nelze precist ani jeden

Zvetsovani taky zboznuju, bud si na pismenka na te mikrofisi musim vzit elektronovy mikroskop, nebo zase casti stranky jsou mimo a nejsou videt.

Super jsou taky weby s 5 framy, javascriptem, flashem a CSS a nespolehliva linka na ktere se zasekavaji TCP spojeni uprosted prenosu.

Zasekava-li se nahravani s pravdepodobnisti 50%, pak clovek musi reloadovat v prumeru 256x, nez se "trefi" ze mu 8-krat "padne" ze se to vsechno nacte a stranka vypada a funguje tak jak ma.

Není to tak zlé, náhodné jevy Xi = nenačte se i-tý prvek jsou vzájemně silně pozitivně korelovaná. Tak po 16 pokusech se to načte dobře :-)

Souhlasim :)

Takový názor jsem vídal v diskusích tak před desíti lety. Myslel jsem si, že někdo kdo neumí napsat funkční CSS, se nemůže nazývat kodérem.

Dnes není technicky možné nakódovat web do tabulky tak, aby se vhodně zobrazoval na počítačích, mobilech, tabletech, atd. a přizpůsoboval se jejich rozlišení a dalším omezením. A kdo to neumí, nemůže se nazývat kodérem.

Kodér a weby? Kde se to spojení vzalo? Slovo kodér je snad už nějakých pár desítek let vyhrazeno pro lidi, kteří umí opravdu programovat (především v assembleru a možná i C) a ne pro lepiče HTML, CSS a javascriptu...

Programátor je to, co řídí automatickou pračku.

Kdyby nějakej lepič neslepil tuhle stránku, tak ty svoje moudra můžeš vypouštět leda někde v hospodě u piva ty chytráku.

A že se mu to ale slepit povedlo :-)
Franta

Pojem "kodér" znám hlavně v souvislosti s weby a jsou to ti lepiči, bastlíři. Programátor je prostě programátor... nebo vývojář (obecněji).

Kodér? Já to znám jako skoro sprosté slovo, které označuje diletanta mastícího dohromady kód, který tak nějak funguje. Obvykle se jedná o čirého nadšence bez potřebných znalostí, ale ve firmách se vyskytujícího docela často.
Programátor už má nějaké vzdělání a zvládá pracovat na vyšší úrovni.
Vývojář je člověk, který má široký rozhled přes různé technologie a je schopen (i abstraktně) modelovat složité systémy.

Osobně bych pojmenování kodér považoval za hrubou urážku.

Slovo kodér může mít více významů, ale v souvislosti s moderním webem se pod pojmem kodér myslí člověk ovádající CSS(CSS3, LESS, SASS, ...) HTML(HTML4. XHTML, HTML5), JS(AJAX, jQuery, CoffeeScript, Angular, ...), práci s grafikou, typografii, pravidla přístupnosti, responsivní layout, grid layout, šablonovací enginy, crossbrowser optimalizace, výkonnostní optimalizace, základy UX, UI, SEO a samozřejmě taky různá IDE, generátory kódu a další nástroje. Na zvládnutí jmenovaného na profi úrovni to chce minimálně tři roky praxe. Opravdu to není někdo, kdo pustí notepad a naprcá do sebe tři tabulky, jak si tady zřejmě někteří myslí.

Pokud narazím na netu na nějaký web, kde je část textu zakryta kusem tlačítka nebo obdélníčku s reklamním obrázkem / animací, tak je to vždy výsledek CSS-shitu.
Tabulky prostě fungují, jejich naprogramování coby layoutu stránky zvládne i mírně vycvičená opice (a nic jiného, až na pár výjimek, stejně webové stránky nedělá) a dokáže je +- korektně zobrazit prakticky každý prohlížeč (s výjimkou opravdu velice exotických nebo velice starých). Opět, CSS spousta prohlížečů korektně nezobrazí, případně je budou zobrazovat různým způsobem.

Tabulky jednoduse nefunguji a pouzivaji je leda prasata ... protoze tabulky nelze nijak rozumne zobrazit na diametralne jinych rozlisenich.

Tak na mobilu s tabulkama já nemám problém. Nejhorší věc, co mi hrozí je, že budu muset odscrollovat. V CSS pak reálně hrozí, že budu muset luštit zdrojový kód, abych si to vůbec přečetl :-)

Důvody bych spíše viděl v tom, že oddělit vzhled od obsahu se vyplácí. Zvláště na webu. Jinak v principu jako pattern, jak pozicovat prvky na stránce, to není zase tak špatné. Třeba v XAMLu se hojně využívá Grid, což je něco jako lepší tabulka v HTML a funguje to docela dobře. A taky se to zobrazuje na různých rozlišeních. Kdybych mohl nativně něco takového používat přímo v CSS, tak bych měl zase o starost méně. Základní problém vidím hlavně v tom, že technologie pro zobrazování obsahu se už několik let znásilňuje k zobrazování GUI aplikací. I androidí layouty bych použil radši, než css.

Je to přesně naopak, u tabulek lze bez problémů definovat procenta výšky a šířky okna prohlížeče, takže tabulka se teoreticky (prakticky to může vypadat hůře) přizpůsobí jakémukoli rozlišení.

Že jsem zastánce tabulek je asi jasné. Ještě bych ale rád zmínil jednu zásadní věc kterou pozoruji zejména při používání tabulek, nebo starších klasických metod psaní webu. Jde o přenositelnost webových stránek do jiných forem dokumentů. S tabulkami, ne CSS definovaným rozložením textu si většinou SW pro konverzi poradí, ale s CSS, velmi často i s obrázky (reklama je případ sám pro sebe) je tak neskutečná potíž...

Když k tomu uvážím že ten opravdu hodnotný obsah stále ještě vytvářejí jen jednotlivci, pokud nevyužívají již hotové poskytnuté jim prostředí, stačí jim jakýkoli editor a převod právě do tabulky. Takto jimy vytvořená jedna stránka má často velikost do 100 kB a některé obrázky, použité i na jiných stránkách jejich webu, klidně pojme cache browseru a nenačítají se znovu. U moderních webů není neobvyklé že každá i opakovaně načtená stránka vás stojí klidně i 1 MB přenesených dat. Moderní weby a způsoby psaní stojí prostě za -píp-. Jen málokdo navíc uvažuje třeba nad tiskem...

Podobných řečí o cvičených opicích a lepení kódu od "opravdových programátorů" už jsem četl dost a když jsem pak viděl jejich vlastní web, tak jsem většinou málem umřel smíchy. Něco jako "podle sebe soudím tebe"... Jinak to s těma tabulkama snad nemůžete myslet vážně, radši zůstaňte real programmeři a neserte se do toho, čemu nerozumíte.

Tahle diskuze je dávno mrtvá:

1) web není jen pro desktopy a na malých rozměrech displeje jsou tabulky na nic, použít je třeba responsible design

2) tabulky v HTML slouží pro tabulková data, tabulky v CSS (!) si můžete použít pro libovolné účely, kde chcete zobrazit data jako v tabulce. Tedy klidně i pro design stránky.

No, abych řekl pravdu, pro praxi je celkem jedno, jestli je CSS layout blbá technologie, nebo jsou blbí kodéři nebo blbé prohlížeče. Důležité pro uživatele je, že tabulky v 99% případů fungují a CSS layout ne. Proto preferuji ty tabulky.

Dobrá technologie je v rámci možností blbovzdorná (vzhledem k HTML kodérovi i programátorovi prohlížeče). Tabulky blbovzdorné jsou. CSS layout blbovzdorný není. Totálně rozsypanou tabulku jsem neviděl nikdy. Totálně rozsypaný CSS layout potkávám každý den.

To je ale blbost!

V tabulce mají být tabulková data. K tomu je určena, na to je vybavena, tak to dává smysl.

Definovat design tabulkou může jen nesémantické prase ignorující logický tok dokumentu. <ironie>Vůbec nevadí dávat do souvislostí náhodné fragmenty webu.</ironie>
Nevidomý s hlasovou čtečkou by ti jistě poděkoval, že web vypadá všude stejně, ale nedává to smysl (nedá se to poslouchat)!

P.S.: Zatloukáš vruty kladivem? Nejsou k tomu určeny, ale jde to.

Jako web developer s 15 letou zkušeností a zásadní účastí na několika známých megaprojektech mohu říct jen to, že jsi absolutní idiot.

Ne že bych se vám do toho měření údů chtěl nějak plíst, ovšem mystrdat nejspíš nereagoval na tebe, ale na (skutečně idiotský) příspěvek od uživatele "Honza" ;-)

"používá moderní a světové postupy"

S cargo cultem jsem se v IT uz parkrat setkal.

Treba "je to bezpecne - pouziva to sifrovani"

"Je to v Jave"

"Nazev zacina na i"

Ad „je to bezpecne - pouziva to sifrovani“

Ještě lepší je, když ani šifrování nepoužívají, jede to po HTTP a dají tam ikonu zámečku a nápis „This transaction is secured“. Zabezpečení asi spočívá v tom, že při zadávání hesla se nezobrazují písmenka, ale hvězdičky, a heslo tak nejde odkoukat přes rameno.

Smutný na tomhle článku je, že ten kdo si přečte pouze tučný text nepřijde vůbec o nic. Většinu článku tvoří zbytečná výplň. Na rootu bych čekal trochu něco víc, než napsat všeobecně známé věci ze statistik (bez uvedení jakýchkoliv zdrojů) a obalit je hromadou rádoby vtipných přirovnání a reklamou na webtop.

Jeste je zajimave, ze si autor na sklidneni dava sklenku dobreho vina.

Dát si panáka není dnes cool, tak tedy víno. Ale musí být dobré, jinak by vypadal jako socka.

Nemôže predsa verejne kritizovať tých, čo mu platia za to hodnotenie. Keď som videl, že chcú prachy na registráciu, tak ma prešiel ďalší záujem.

Na druhej strane, ak majú weby toľko problémov (a mnohé ich fakt majú - nielen tie .cz ale .sk), tak to treba tým kóderom otrieskavať o hlavy stále dokola. Na toto bol ten článok dobrý. :)

Stejně jsou lepší ty diskuse pod článkem :-)

:D :D

Nazdar.

"Pojďme jej tedy vyléčit a udělat vše proto, aby se podobná situace příště již neopakovala."

Tak Vám navrhujem p. Špaček, napísať seriál o bezpečnosti o tom, ako konkrétne ste testovali bezpečnosť webov, myslím, že by to mnohí kóderi ocenili.

+1
:-)

Už vidím reakce typu "to přece všichni dávno známe". Kvalitních článků na toto téma jsou desítky, stačí použít google. Kdybyste byli snaživí, jako jste líní, tak by autor článku neměl o čem psát.

Javascript je zlo.
Neni potreba prakticky nikde a vsude je ho jak nas**no.

Jasne chlape! V podstate ani pocitace nikde netreba, ceruzka a papier postaci. A ked sa to tak vezme ani papier netreba. Zacnime CSS-kovat hlinene tabulky!

S Js je to jako s ohnem - dobry sluha ale zly pan ... osobne mam by default scriptovani vypnuto. A pokud vlezu na web, kterej bez toho nefunguje, a to prakticky vubec, tak du jednoduse pryc. Js ma smysl, pokud poskytuje funcionalitu, kterou nelze zajistit jinak nebo zveda komfort jejiho pouzivani, ale ne jako engine pro generovani vzhledu ... blah.

Js ma smysl, pokud poskytuje funcionalitu, kterou nelze zajistit jinak nebo zveda komfort jejiho pouzivani, ale ne jako engine pro generovani vzhledu
+1

Ad "Našel jsem ale několik případů, kdy na jinak moderních webech byly použity tabulky například k umístění vstupního políčka a tlačítka vedle sebe, toto by se na webech vyrobených během posledních pár let nemělo objevovat."

Zajímalo by mne, jak by autor řešil zarovnání prvků formuláře, aby vypadal takto:

...Jméno: __________
Příjmení: __________
...Ulice: __________

(místo teček patří mezery - zdejší redakční systém je ale neumí zobrazit)

V CSS na to mám hack, ale ten má určitá omezení (maximální celkovou šířku si člověk musí stanovit předem). Vysázet to pomocí tabulky je čistější a takovým omezením to netrpí. Otázka je pouze sémantika - dá se formulář považovat za tabulku? Nebo je to fuj fuj zastaralé řešení, které za které by se měl autor stydět? IMHO to tabulka je: 1. sloupec: název, 2. sloupec: hodnota, případně 3. sloupec: popis. Ale pokud někdo ví, jak stejného výsledku dosáhnout bez tabulky...

nejsem clovek, ktery dela casto frontend, ale hned me napada:

1) definition list: dt obsahuje label, dd input
2) ciste label, a vedle nej input - s tim, ze label bude mit stanovenou sirku a text vpravo

tabulky jsou od toho, aby se v nich prezentovaly data...

1) to by asi šlo, ale těžko tam dostanu třeba třetí sloupec s popisem

2) o tom jsem právě psal, že je to omezené -- předem si stanovím šířku, do které se musím vejít -- zatímco tabulka se přizpůsobí obsahu

Ad "tabulky jsou od toho, aby se v nich prezentovaly data..."

A tohle nejsou data? V prvním sloupci názvy, v druhém hodnoty. Data lze upravovat na místě...

Já například používám následující strukturu prvku formuláře. Každý řádek má tři části - titulek, vlastní formulářový prvek a prostor pro dodatečné popisky (obvykle meze). Celá struktura může mít pevnou velikost, nebo se přizpůsobovat okolí a i bez CSS to vypadá rozumě. Obdobně jde zavést i styl pro elementy pro výběr (checkbox nebo radio).

HTML:
<div class="form_item">
<label class="form_label" for="col">Titu­lek</label>
<input class="text_box" type="text" name="col" />
<div class="info">další info</div>
</div>

CSS:
div.form_item {
width: 100%; clear: both;
position: relative;
}
label.form_label {
display: block; float: left; width: 29%;
text-align: right;
}
input.text_box {
width: 40%; margin: 0% 1%;
}
div.info {
float: right; width: 29%;
text-align: left;
}

Další mínus: po vypnutí javascriptu je web absolutně nefunkčí. A že jich takových je...

99% obycajnych uzivatelov internetu ani nevie ako si vypnut JS a preto si ho nevypina.

V dnesnej dobe si JS vypne fakt len blazon...

V dnesni dobe ho ma leda blazen zapnutej.

Také jsem takové pubertální období zažil (já tedy ještě v minulém století), ale dnes je to hloupost. Aplikace se přesouvají na web a js potřebují. A na druhou stranu, některé bezpečnostní aspekty se posunuly od zneužívání js do jiných dimenzí (např. sledování uživatele napříč weby a IP i bez cookie a js).

V dnesni dobe pouzije normalni clovek NoScript a JS si zapne jen tam, kde je to skutecne nezbytne...

Mit v URL index.php?menu=123&pa­ge=456 je z hlediska bezpecnosti naprosto v poradku.

Ono je to naprosto vporadku i z hlediska uzivatelsky privetivosti. Predevsim proto, ze jde o zcela jednoznacny identifikator, narozdil ud ruznych "uzasne seo friendly" nazvu, kam se pak stejne musi jeste prigenerovat nejakej balast, a ktery si nikdo pamatovat nebude, v pripade pouziti ID nemuze dojit k mylce a odkazu na jiny clanek se stejnym/podobnym nazvem.

Pokud clanek ma adresu /clanek/xyz/ a xyz neexistuje, server vrati 404 (to je v poradku).

Ale pokud se na clanek odkazujete jako /clanek/?id=xyz a xyz neexistuje, pak je nespravne vratit odpoved 404. Chybne parametry v GETu lze ignorovat nebo vratit 400 a to uz neni uzivatelsky ani SEO friendly.

Pokud uz tu tedy zminujete RFC 2396, tak to rika: "The query component is a string of information to be interpreted by the resource."

Jinak receno, resource uz je znam (tim je path) a tomu predame query. Takze query neidentifikuje resource, pouze je resourcem interpretovan. Takze vracet 404 na zaklade chybneho query je spatne.

GET parametry v takových případech ignorovat nelze, protože jsou pro komunikaci naprosto kruciální -- identifikují obsah, který si chci stáhnout -- a pokud takový obsah na serveru není, tak samozřejmě mám dostat 404 chybu.

Chtěl bych trošku zaprudit. Takže nechápu zda autor měl na mysli webové aplikace nebo to ostatní. Čímž se dostávám k problému a to jsou "COOL URL" tento tvar adres jako důležitý chápu u všech ostatních webů mimo webových aplikací a to z důvodu že v tomto případě většinou tato URL odkazuje na nějaký stav a né obsah tudíž nemusím dostat stejný výsledek u stejné url tím pádem je podle mně zbytečné dělat uživateli příjemnější URL protože tuhle adresu nebude psát zaručeně ručně(pravděpodobně by Googl v této soutěži neuspěl). Jinak část článku zaobírající se bezpečností je bohužel asi pravdivá ohledně XSS je pro každou třetí internetovou diskuzi hrozbou. Já to z tohoto článku chápu tak, že české weby jsou graficky a typograficky správně, ale aplikační logika stojí za prd. Takže buď dělájí layout a logiku stejní lidé nebo máme v ČR programátory amatéri.

Spíš (dobří) programátoři dělají něco jiného než weby.

Pouzivam casto velky website s miliony uzivatelu a ten ma takovou vlastnost ze v nekterych castech websitu po stisknuti reloadu se objevi titulni stranka - jakoby informace o tom kde jsem byla ulozena nekde jinde nez v URL a pri reloadu se zapomnela.

Stve me to.

Cim je to zpusobene?

iframe?

Nebo taky teď hodně populární získávání všeho obsahu z AJAX požadavku, pak je informace o aktuálním obsahu uskladněná buď v cookies, DB nebo třeba v domStorage. Takže možná bych mrkl jestli se v té url nevyskytuje shebang - # jestli jo tak natom musí tvůrce ještě máknout. Dělal jsme něco podobného a je to celkem zajímavý řešení jak udělat nějakou WEB APLIKACI bez reload...

Dneska bych to viděl spíš na různé widgety a cloudy a podobný bordel.

web100 je uplna volovina. Vetsinou tam vyhraji naprosto nudne, obsahem preplacane weby na kterych je vse a nic.... pracuji ve firme, ktera se tradicne umistuje v teto soutezi a interne vime, ze nas web stoji za howno a zakaznicke vyzkumy to potvrzuji ...

proste kecy v klecy, marketingovy pohled nikde ...

stačilo se podívat na reklamovovaný­propagovaný web

Jasně, že zdroják lze zveřejnit, dokonce je to často i žádoucí nebo vyžadované (např. Affero GPL licencovaný software), ale problém je v tom, že ty weby dělají matláci, kteří to nemají pod kontrolou a nemají ani představu, co za soubory se tam nachází a které z nich je možno zveřejnit a které je naopak potřeba střežit jako oko v hlavě (typicky konfigurák s hesly nebo soukromé klíče). Takže ve výsledku se snaží utajit všechno, ale mizerně, takže dochází k únikům.

Jedna vec je zverejnit zdrojaky, druha umoznit pristup k "zivym" scriptum.

A jak se liší přístup od zveřejnění? (přístup pro zápis samozřejmě nemyslím)

Když dáte hackerům zdroják vaší aplikace, usnadníte jim hledání děr.
Stáhnou si zdroják, nainstalují to a budou se v tom vrtat na localu tak dlouho, dokud něco nenajdou. Pak vše promyslí a připraví. Pak teprve zaútočí. Vše potřebné už ví. Půjdou najisto. A budou tiší.

Tohle myslím nechcete.

No... Doufám, že jste za tenhle PR článek aspoň něco dostali... ;-)
Jinak vážně nechápu, co to má být a co to tu ještě dělá.

Tak to shrňme - tabulkový layout rulezz, design je u stránky zbytečný, CSS ve většině prohlížečů pořádně nefunguje a JavaScript je dobrý jedině vypnutý. Tady se asi prolínají dvě paralelní reality a z toho jedna probíhá někdy před deseti lety. Mohl byste sem někdo ze všech těch expertů přes webové technologie(a kromě toho taky na všechno od poševní mykózy až po jadernou fyziku) hodit odkaz na některý z webů, který jste udělali za poslední rok? Nebo jsou vaše názory jenom domněnky typu "takhle nějak by to asi mohlo fungovat"? Tipuju druhou možnost.

Tohle doufám autor nemyslí vážně. Kdybych chtěl hledat googlem, budu hledat na googlu a případně ho omezím na jednu sajtu. Zkuste si něco najít třeba na ihned.cz ... fakt boží, že? Řazení od oka, občas to něco najde, občas to najde úplnou blbost ... on totiž google narozdíl od aspoň trochu rozumně udělaného vlastního vyhledávání dost těžko pozná co je "maso" a co omáčka ... hlavička, patička, reklamička, odkaz na další aktuální článek a tak dále a tak podobně. Výsledek stejně na pikaču jako zbytek ihned.
Pokud člověk nemá na to aby aspoň trochu rozumné vyhledávání udělal (a že to není takový problém ... pokud se člověk nepokouší vynalézt kolo), tak přinejhorším ať si tedy přidá googlí vyhledávač, ale dobré řešení to není ani náhodou.

Mne spíše zarazilo, pominu-li, že jde o skrytou reklamu na tuto rádoby soutěž webů mimochodem placenou a vnucovanou obchodníky dané firmy, že se tato firma snaží budit dojem důvěřivosti a přitom jejich porotce dělá (lhostejno že údajně s dobrými úmysly) útoky na přihlášené weby a tedy se k inforamcím, které lze takto získat, zneužít apod. dostane. To by pro mne jako majitele webů, pokud bych je přihlísil a ještě za to platil, bylo velmi varující a určitě bych to nechtěl, kvůli tomu soutěž není, ta je, resp. by měla být o něčem zcela jiném...