Meio Bit - IE 8 passa no ACID 2 ? Sim, mas apenas no ACID 2 oficial - Comentários

Re: Sim, serve. Agora, não

davidkwast — Wed, 12 Mar 2008 22:40:57 +0000

Voce tem um bom ponto, e ja ta bem tecnico e eu nao manjo quase nada de HTML/CSS e OBJECTs em geral.

[]s

Sim, serve. Agora, não

Fabião — Wed, 12 Mar 2008 14:15:09 +0000

Sim, serve.

Agora, não entendo porque ninguém se questiona o motivo de, por padrão, um navegador ser obrigado a fazer funcionar algo como três tags object 'sanduichadas', sendo duas delas com erros propositais e a restante com um PNG criado via base64.

NINGUÉM vai usar isso em um site, JAMAIS.

Não alongarei a discussão técnica aqui, porém, há certos 'padrões' que a w3c propõe que só atrapalham a vida de quem desenvolve.

Re: Não se anime tanto. Eu vejo

davidkwast — Tue, 11 Mar 2008 22:15:52 +0000

Até onde eu sei, o teste serve para testar os padrões ou recomendações que deverão funcionar em qualquer navegador.

Agora se vai ser útil ou não, será que já foi discutido na W3C? Quando eu tiver tempo eu vou ler sobre essas recomendações e entender o porque do IE ter problemas com essa TAG OBJECT.

Não se anime tanto. Eu vejo

Fabião — Tue, 11 Mar 2008 18:58:00 +0000

Não se anime tanto.

Eu vejo todo mundo criticando os browsers por "não passarem no teste", mas, alguém chegou a ver o teste em sí ?

A parte do acid2 que dá pau no IE8 tem:

Uma tag Object, com enctype de um erro;
Dentro desta tag object, OUTRA tag object apontando para uma página inexistente;
Dentro desta segunda tag, uma tag object com um PNG dos olhos, mas codificado em base64;

O problema do cross side scripting é na tag do meio: O IE exibe um iframe de "not found", caso a chamada seja de outro domínio.

De boa... quem é que vai usar tais recursos num site de verdade ?

Estes testes hipotéticos parecem-se muito com aqueles benchmarks sintéticos pra jogos, que apontam placa de fulano melhor que a de sicrano, e, quando vai-se jogar mesmo pra valer, a situação não é nada igual a do teste.

Re: KHTML ganhando? Ok... Foi

davidkwast — Tue, 11 Mar 2008 03:31:29 +0000

O 5.5 tava muito nos padroes web para a MS, hehehe. O 6 e o 7 mostraram mesmo como a Web da MS deve ser.

Agora falando serio, o que sera que mudou tanto entre o 5.5 e ao 6/7 para diminuir o score do Acid3? Talvez mais Bugs de CSS... Ou mais seguranca, sempre essa é a desculpa. Ninguem mais sabe se o problema do teste do Acid2 é do IE/Windows/ActiveX ou um baita risco de seguranca que ninguem viu, soh a MS!!!

Deixando a mini-revolta de lado, vamos todos (torcer|rezar|blogar...) para desta vez com o IE 8 a coisa endireitar de vez. Eu quero ter a liberdade de usar o navegador que eu quiser no sistema que eu quiser sem ter navegabilidade de sites prejudicada!!!

KHTML ganhando? Ok... Foi

Wallacy — Tue, 11 Mar 2008 02:35:41 +0000

KHTML ganhando? Ok... Foi até previsível essa hehe... Porém realmente achei interessante o IE 5.5 ter ganhado do 6 e 7.

-----
Para aquele que controla o próprio pensamento, todo o resto se torna simples jogo de crianças...
Gandhi.

Re: IE 8 passa no ACID 2 ? Sim, mas apenas no ACID 2 oficial

davidkwast — Mon, 10 Mar 2008 20:01:23 +0000

Internet Explorer 5.5 vai melhor que o 6 e o 7 no Acid 3!!!

http://www.anomalousanomaly.com/2008/03/06/acid-3/

Esse site também mostra os outros navegadores, é bom para comparação.

Bem, como eu disse eu não

Wallacy — Mon, 10 Mar 2008 18:31:04 +0000

Bem, como eu disse eu não sei.. Qualquer coisa que eu fale a mais só vai ser especulação, mais certamente assim que der vou tentar ver como outras plataformas/browser se comporta com esses script injections. Só comentei aquilo pois já entrei tentei rodar alguns conteúdos similares e não rodaram simplesmente pela ausência de uma aplicação no estilo do activeX..

Em fim.. Se você disse, ta dito... Depois vou ler mais sobre esse asunto em particular.

-----
Para aquele que controla o próprio pensamento, todo o resto se torna simples jogo de crianças...
Gandhi.

Re: IE 8 passa no ACID 2 ? Sim, mas apenas no ACID 2 oficial

ironman_br — Mon, 10 Mar 2008 16:45:17 +0000

Testei no firefox 3 beta 5 pre (sem gosto de fortes emoções) e passou tb no acid2.

[]'s

Jabá http://beernotfoundexception.blogspot.com/

Oi, Wallacy ! Joguei a

Dennes — Mon, 10 Mar 2008 03:34:15 +0000

Oi, Wallacy !

Joguei a resposta para o final, porque aqui já está ficando bem apertado...

[]'s

Dennes

Oi, Wallacy! Quote: Ta,

Dennes — Mon, 10 Mar 2008 03:33:41 +0000

Oi, Wallacy!

Quote:

Ta, mais ai não é um problema do webmaster que referenciou errado o arquivo do flash?

Não, estamos falando de script injection, o desenvolvedor web nem ao menos inseriu um arquivo do flash ali.

É claro que é um problema de programação não ter tratado as possíveis invasões de script injection, mas quando algo fica muito óbvio, como um cross-site scripting, o próprio browser pode barrar, é um favor que ele faz.

Quote:

Mais até onde entendi, o problema do que você citou é justamente referenciar um conteúdo contendo scripts ou outros códigos maliciosos, esse conteúdo redirecionado é enviado a algum player de vídeo (por exemplo) ele não vai conseguir rodar esse código malicioso.

"código malicioso" quando se trata de segurança, é algo extremamente amplo. Nesse caso não se refere apenas a programação, as vezes o mais inocente dos plug-ins, quando recebe determinados parâmetros, pode gerar um resultado desagradável... só o fato de ter ali algo que veio de outro site já pode não ser legal (estamos falando de script injection, não foi o desenvolvedor que fez a referência).

Quote:

No caso, outras plataformas não tem controles semelhantes ao do "activeX", pessoalmente não conheço nada similar para outras plataformas, geralmente é como eu falei, lê o mime e passa para o player responsável do sistema...

O que é exatamente a mesma coisa, o "player" pode ter sua parametrização explorada

Quote:

e mesmo que continuasse o player não saberia interpretar códigos....

ActiveX também não. Além disso nem ao menos levantei a possibilidade de ser um mimetype diferente, apenas das parametrizações do player serem exploradas.

Quote:

Até onde percebi dessa falha, é algo exclusivo ao Windows + IE

Não conforme estou descrevendo, a menos que os browsers protejam os players de alguma forma adicional.... mas como o firefox passa no acidtests, isso quer dizer que se fosse um flash pornô ia rodar, enquanto o IE 8 barraria.

Quote:

pois é o único sistema que parece ter uma implementação nesse estilo

Não sei exatamente a qual estilo está se referindo, mas é algo diferente do que estou citando...

Quote:

o grande lance é justamente o "activeX" que é capaz de interpretar códigos maliciosos

De forma alguma. ActiveX não "interpreta códigos maliciosos", isso seria lenda. ActiveX é um componente já instalado na máquina do usuário e cujas parametrizações podem ser exploradas, assim como um "player", que se não estiver instalado no client vai ser baixado e instalado.

[]'s

Dennes
---------------------
CidadaoCarioca
BufaloInfo

Ta, mais ai não é um

Wallacy — Mon, 10 Mar 2008 02:46:04 +0000

Ta, mais ai não é um problema do webmaster que referenciou errado o arquivo do flash?

Novamente eu não tenho certeza... Mais até onde entendi, o problema do que você citou é justamente referenciar um conteúdo contendo scripts ou outros códigos maliciosos, esse conteúdo redirecionado é enviado a algum player de vídeo (por exemplo) ele não vai conseguir rodar esse código malicioso. No caso, outras plataformas não tem controles semelhantes ao do "activeX", pessoalmente não conheço nada similar para outras plataformas, geralmente é como eu falei, lê o mime e passa para o player responsável do sistema... E no caso iria falhar direto na identificação do mime, o codebase estaria referenciando um arquivo de vídeo, e o mime da url estaria um conteúdo de outro tipo, só ai a conexão já seria interrompida, e mesmo que continuasse o player não saberia interpretar códigos....

Até onde percebi dessa falha, é algo exclusivo ao Windows + IE, pois é o único sistema que parece ter uma implementação nesse estilo, o grande lance é justamente o "activeX" que é capaz de interpretar códigos maliciosos, logo isso se tornaria uma falha dentro desse escopo.

-----
Para aquele que controla o próprio pensamento, todo o resto se torna simples jogo de crianças...
Gandhi.

Oi, Wallacy! Acredito que

Dennes — Mon, 10 Mar 2008 01:30:36 +0000

Oi, Wallacy!

Acredito que sim, independentemente de qualquer activeX.

O arquivo fornecido ao flash poderia ser um arquivo do flash, mas poderia ser perfeitamente um vídeo pornô que apareceria na página principal de um site no qual o webMaster jamais sonharia em hospedar esse conteúdo.

Se o browser barrasse chamadas cross-domain, resolveria.

[]'s

Dennes
---------------------
CidadaoCarioca
BufaloInfo

Sei lá. Você perguntou

Wallacy — Mon, 10 Mar 2008 00:30:50 +0000

Sei lá. Você perguntou como seria a implementação em outras plataformas e eu falei... Agora se vai ter problemas com script injection eu não sei.. Só respondi sua pergunta...

Apesar que como ele só faz uma busca simples por um player baseado no mime type, acredito (não tenho certeza) que pode não ter esse tipo de problema, pois ele só ira redirecionar os dados para o player, dai no caso o player teria conseguir interpretar esse tipo de scrip, o que é meio complicado. De qualquer forma eu não sei...

-----
Para aquele que controla o próprio pensamento, todo o resto se torna simples jogo de crianças...
Gandhi.

E eu sugiro que você volte

Caravana — Sun, 09 Mar 2008 17:12:17 +0000

E eu sugiro que você volte e leia a notícia direto do blog dos desenvolvedores do IE, pois só li sobre o bug universal XSS do Acid2 por aqui.

IE 8 passa no ACID 2 ? Sim, mas apenas no ACID 2 oficial

Dennes — Fri, 07 Mar 2008 23:21:22 +0000

Há dias vi mensagens no fórum sobre o IE 8, falando que ele não passa no ACID 2, apesar de anteriormente ter sido anunciado o contrário.

Afinal, o que aconteceu ? Por que depois de um anúncio tão bom o beta sai sem esse recurso ? Por que o sujeito virou ciclope ?

Quando vi essas mensagens aqui no MeioBit imediatamente encaminhei, para poder saber o que realmente havia ocorrido. Hoje recebi a resposta.

O teste ACID 2 oficial encontra-se em http://www.webstandards.org/files/acid2/test.html e o IE 8 beta 1 passa neste teste perfeitamente.

Porém o teste ACID 2 possui inúmeras cópias espalhadas pela web, sendo uma das mais populares a que fica em http://acid2.acidtests.org/ . Porém esta cópia não é uma cópia exata do teste ACID 2, possui uma pequena diferença. Vejam esse trecho de código abaixo :

<object data="http://www.damowmow.com/404/" type="text/html">

</object>

</object>

O endereço do teste é http://acid2.acidtests.org/ mas o atributo data da tag object aponta para http://www.damowmow.com/404/ . Isso é uma chamada cross-domain, ou seja, feita para um domínio diferente, a partir de uma tag object . Desenvolvedores sabem o quanto isso é perigoso, estamos falando de potenciais invasões usando cross-site scripting e coisas do gênero.

Não importa o fato do objetivo desta chamada ser testar a reação a um erro 404. Para saber que isso é um erro 404, o IE teria que fazer a chamada ao endereço e o IE, ao identificar tratar-se de uma chamada cross-domain, barrou.

No endereço oficial do teste ACID 2, o atributo data aponta para o mesmo domínio onde encontra-se a página de teste e, portanto, no endereço oficial o IE 8 passa no teste ACID 2.

A resposta oficial da Microsoft pode ser encontrada no blog do Internet Explorer, em http://blogs.msdn.com/ie/archive/2008/03/05/why-isn-t-ie8-passing-acid2.aspx

Alguém por ai andou dizendo que a Microsoft não ouve seus usuários ?? :-)

Agora, com o beta 1 do IE 8 passando no teste ACID 2, já podem sorrir mais contentes. Claro que nem tudo é perfeito, vi os comentários gerais, mas a Microsoft ainda está no Beta 1 e já consegue 17/100 no ACID 3