JavaScript får måske lokal fil-adgang

I see them exploits coming.

Me too...

Men de har da tænkt på sikkerheden :P

Jeg har i forvejen en javascript blocker add-on installeret i min Firefox, og den kommer sku på overarbejde hvis dette kommer igennem, der er mere grund til at have den nu. Kommer nok til at tænke mig en ekstra gang før jeg giver en hjemmeside adgang til javascript.

Ja de har sikkert tænk på sikkerhed, men har de tænkt på alle de dumme brugere ca. 80% af dem der bruger nettet.

Det ville faktisk være nice med filadgang, og jeg håber virkelig de sætter sikkerhed forrest hvis det bliver implementeret.

#3.
Du gør livet surt for os der skal udvikle javascript til nettet - tror du skal sætte ind andre steder overfor sikkerhed i stedet for at afskære dig selv fra en masse funktionalitet på nettet.

mmm ja, er de fleste exploits ikke javascript/activex i forvejen? ;)

Jeg kan godt se fordelen i at et script ikke kan uploade filer, men jeg har selv (ganske tit!) siddet og forbandet javascript langt væk for ikke at kunne tilgå filsystemet.
Det bliver spændende at se hvad det hele ender med...

Ikke gemme filer? Er der da heller ikke behov for, når de har overført banknøgler, dokumenter med koder og lignende osv.

Helt klart potentiale, men tror også med den almindelige gennemsnitsbruger, så bliver det farligt.

Så kan man sikkert lave, så der popper en boks frem, hvor man skal svare ja eller nej til at tillade en side adgang til lokale filer.
Ja hvor mange læser lige den boks, og svarer ja/nej de rigtige steder?

Det ville faktisk være nice med filadgang, og jeg håber virkelig de sætter sikkerhed forrest hvis det bliver implementeret.

#3.
Du gør livet surt for os der skal udvikle javascript til nettet - tror du skal sætte ind andre steder overfor sikkerhed i stedet for at afskære dig selv fra en masse funktionalitet på nettet.Kedekede (#5)

Hvis du laver hjemmesiden ordenligt, så skulle man kunne bruge den med og uden javascript :P Jeg giver kun adgang til javascripts på sider jeg anser som safe, og hvis du kræver at folk har javascript aktiveret for at navigere på hjemmesiden, well, så er du dårlig til at lave kompatible hjemmesider.

Jeg forstår ikke lige folk der snakker så meget om sikkerheden. Udfra beskrivelsen lyder det som om den her feature overhovedet intet ændrer ved sikkerheden.

Man kan allerede uploade filerne til serveren. Derfra kan man downloade dem igen og behandle dem i javascript. Der blot tale om en effektivisering der gør det hurtigere. Og det er stadigvæk brugeren der vælger hvilken fil scriptet får at arbejde med.

Du gør livet surt for os der skal udvikle javascript til nettetKedekede (#5)

Du gør så kun livet surt for dem der skal bruge nettet. Det er helt i orden hvis man bruger javascript til at gøre sit website list nemmere og hurtigere at bruge, men et website bør også være tilgængelig for browsere helt uden javascript support. Og med mængden af websites, der misbruger javascript, og browsere, der ikke helt kan begrænse javascripts muligheder nok, er man nogen gange nødt til at browse uden javascript support.

Hov? Jeg troede egentlig allerede at Java kunne gøre alt det? Min netbank hos Sparnord kan da både up og download filer og diverse fotoprint sider klarer da også fint opgaven - eller er det en udvidet addon funktion? Anyway, kan ikke lige se nyheden i dette som bruger, men det skal nok give programmører brede smil og stramme bukser.

#11
Java er ikke det samme som Javascript.

#9 og #10
Slå det bare fra, jeg er kold, i får bare den skrabede version af siden.

Ideen er dårlig. I stedet burde de lave en løsning ligesom Silverlight, med et Isolated Storage til nødvendige data.

Dette her kan kun føre til enorme sikkerhedsproblemer, og går i mod hele "i skyen" arkitekturen.

#12 : Ja så blev man da dét klogere. :)

Ikke gemme filer? Er der da heller ikke behov for, når de har overført banknøgler, dokumenter med koder og lignende osv.TheAvatar (#8)

Nøglefiler er en dårlig løsning, og i princippet er den løsning Mozilla foreslår, bare en moderne udgave af ActiveX.

Så kan man sikkert lave, så der popper en boks frem, hvor man skal svare ja eller nej til at tillade en side adgang til lokale filer.
Ja hvor mange læser lige den boks, og svarer ja/nej de rigtige steder?TheAvatar (#8)

Alle. Ihvertfald hvis det er på deres netbank!

JScript (ActiveX) local fil adgang: http://msdn.microsoft.com/en-us/library/2z9ffy99%28VS.85%29.aspx

Som sagt, velkomme til for 10 år siden Mozilla :-)

#17 øh nu er det jo ikke Mozilla du skal bebrejde, de gør jo netop en aktiv kamp for at forbedre javascript, der jo altså ikke lige er deres ansvarsområde, så de er da de forkerte at pege fingre ad. ActiveX kan jo altså ikke køres i andre browsere end IE og det er jo nærmest også ved at være slut reelt.

Alt det med at det 'bare' er en moderne activex, jamen igen, activex er kun for IE og nærmest ingen benytter det, hvorimod javascript er rigtig udbredt og kan køre på tværs af platforme og browsere, så er da et vigtigt skridt fremad.

#9, #10
Jeg er principielt helt enig, men i dag er man nødt til at skelne mellem webapplikationer og websites. De første man man ikke rigtigt servere uden javascript.

Tjoh, det er vel fint nok. På nuværende tidspunkt skal man jo uploade filen til webserveren vha. HTTP transfer, for derefter at sende informationerne tilbage i et format Javascript kan læse via HTTP så den kan tolke det. Det er lige filens størrelse op og ned via ens forbindelse der skal til før at lokalt programmel kan tilgå den.

Jeg er en tosse :)

Alt det med at det 'bare' er en moderne activex, jamen igen, activex er kun for IE og nærmest ingen benytter det, hvorimod javascript er rigtig udbredt og kan køre på tværs af platforme og browsere, så er da et vigtigt skridt fremad.webwarp (#18)

Ja, men folk har bashet ActiveX for disse her muligheder i et årti.

Hvor jeg så finder det utrolig latterligt at ligeså snart Mozilla indfører det i Firefox, så er det helt okay. Selvom Mozilla godt nok har haft mange sikkerhedsfejl i deres Javascript implementation over tiden.

Igen, jeg synes man burde indfører Isolated Storage ligesom i Silverlight, som jeg linkede til i #14. Men det er vel det klassiske med at Microsoft teknologier et fy-ord, og man må slet ikke lære noget fra andre.

#9, #10
Jeg er principielt helt enig, men i dag er man nødt til at skelne mellem webapplikationer og websites. De første man man ikke rigtigt servere uden javascript.Lobais (#19)

Selvfølgelig kan man det. Der er naturligvis enkelte begrænsninger. Du kan sagtens lave html forms uden javascript. Og man kan uploade filer til serveren ad den vej. Hvis ikke du ønsker at reloade hele siden hver gang en form submittes, så kan du bruge iframes. Hvis du navngiver dine iframes kan links angive hvilken iframe de skal loades i.

Der fandtes f.eks. webmail systemer før javascript blev udbredt og iframe var noget man ikke havde hørt om endnu. Du kan nok ikke lave nøjagtigt samme brugerflade som du ville have lavet med javascript, men du kan lave noget der virker.

Og man kan uploade filer til serveren ad den vej. kasperd (#22)

Det er forresten ret populært at benytte Flash til at uploade flere filer på én gang.

Google benytter det f.eks. i GMail, til Multi-Upload. En funktionalitet som ellers kun findes i JScript (ActiveX) ;-)

Nej, nej, nej. Jeg laver sgu snart min egen browser.

#14 næ, men silverlight kører jo stadig ikke på alle platforme...

Til alle jer der tror at dette vil bringe sikkerheds trusler.
Tror i selv at nogle ville være så dumme at lave en standard som har potentielle sikkerhedshuller indbygget? Selvfølgelig ville W3C eller Mozilla ikke det.
Sikkerhedshuller kommer måske igennem som fejl i koden, men det er et spørgsmål om at være en god programmør.

@windcape (#23, #21, #17)

Det er en gammel og snæversynet idé at Microsoft teknologi er ignoreret. Microsoft arbejder selv meget aktivt på både CSS3 og HTML5 spec'en.
Ting som "content-editable", Local Storage og Drag'n'drop er dele af HTML5, alle disse "teknologier" er originalt fra Microsoft.
Tænk på at Microsofts teknologi er tilbage fra den gang hvor W3C ikke fandets og hvor browser-krigen var i gang.
Microsoft vandt på at have de fleste features og den bedste distrobution. Det er ikke en fair måde at vinde på, men nok om det.

Microsoft udviklede dog nogle gode ting. "Multi-part uploads" er også en del af HTML5.

Nej, Microsoft er nok ikke verdens mest vellidte firma, men sig ikke at deres tekonolgi bliver ignoreret bare fordi det er dem.
Kig for eksempel på hvor mange der er imod Mozillas tiltag i denne tråd, en del er faktisk imod.

Til alle jer der tror at dette vil bringe sikkerheds trusler.
Tror i selv at nogle ville være så dumme at lave en standard som har potentielle sikkerhedshuller indbygget? Selvfølgelig ville W3C eller Mozilla ikke det.
Sikkerhedshuller kommer måske igennem som fejl i koden, men det er et spørgsmål om at være en god programmør.b4@ (#26)

1) Nogle gange, så opdager nogle kloge hoveder senere, en rigtig, rigtig smart måde at omgå en designfejl på.

2) Rigtig, rigtig, rigtig ofte, så formoder programmørerne ikke at lave softwaren uden sikkerhedshuller. Hvis basekoden er til stede, så skal en dygtig person nok også finde hullerne.

#26 og #27

Isolated Storage er den bedste måde at designe sig ud af sikkerhedsfejl på her. Eller kræve at man som minimum benytter et godkendt certifikat for at kunne benytte Javascript biblioteket.

Derudover giver det ikke rigtig mening at uploade filer fra en bestemt system-sti, da det jo kan variere fra bruger til bruger.

Netop de fleste af de enviroment paths som er i standard systemer, kræver elevated permissions for at tilgå, og jeg ville nok ikke godkende en UAC promt fra min browser!

Igen, jeg synes man burde indfører Isolated Storage ligesom i Silverlight, som jeg linkede til i #14. Men det er vel det klassiske med at Microsoft teknologier et fy-ord, og man må slet ikke lære noget fra andre.Windcape (#21)

Der er da ikke nogen der har sagt noget ondt om Silverlight endnu, vil du bare gerne diskutere for diskussionens skyld?

Jeg synes personligt det lyder som en fremragende ide at udvikle noget Isolated Storage ind i JS.

Der er da ikke nogen der har sagt noget ondt om Silverlight endnu, vil du bare gerne diskutere for diskussionens skyld?johanmw (#29)

Nærmere at folk begyndte at tude omkring platforms kompabilitet når der nævnes et teknologisk koncept.

Jeg tror der er en ting rigtig mange overser her. Javascript vil kun kunne tilgå filer brugeren har valgt.
Det betyder at før noget Javascript kode får adgang til en fil på din computer så har du set en "open file" dialogboks hvor du har valgt hvilken fil du vil arbejde med.
Hvor er problemet i det?

Så kan man sikkert lave, så der popper en boks frem, hvor man skal svare ja eller nej til at tillade en side adgang til lokale filer.
Ja hvor mange læser lige den boks, og svarer ja/nej de rigtige steder?
TheAvatar (#8)

Som jeg læser forslaget, så bruget det stadig input type=file tag, men det nye er at data kan processes client side inden de sendes til server.

Så brugerne vil præcis få samme fil valgs box som de får idag.

Og hvis de vælger en fil og uploader så får serveren ern koi af filen. Idag og med den nye feature.

Umiddelbart virker det ikke som den store yderligere sikkerheds risiko at filen kan processes af JavaScript inden den uploades.

#sikkerhed

Flash har iøvrigt så vidt jeg ved haft en lignende mulighed i flere år.

Og man kan måske se dette som en del af AJAX versus Flash/Flex kampen.

Ideen er dårlig. I stedet burde de lave en løsning ligesom Silverlight, med et Isolated Storage til nødvendige data.
Windcape (#14)

Isolated Storage er den bedste måde at designe sig ud af sikkerhedsfejl på her. Windcape (#28)

????

Isolated storage er et sted at tilgå filer som ikke kan bruges af andre apps.

Hele formålet med denne feature er at tilgå filer som skal bruges af andre apps.

Jeg tænkte mere specifikt på at kun tillade browsere at tilgå lokale filer inden for et bestemt isoleret miljø.

F.eks. i forhold til netbank login eller digital signatur.

Og jeg synes også det ville være relevant at kunne låse data til bestemt sider/apps.

Ellers virker hele Mozilla's ide ret værdiløs.

#35

Isolated storage er en ganske nyttig feature.

Men det har ligesom ikke noget med denne feature at gøre.

Filer med input type=file er filer som bruges af andre apps.

#36

Og hvis du mener isolated storage som generel beskyttelse af alle filer med fortroligt indhold, så er det næppe praktisk.

og i princippet er den løsning Mozilla foreslår, bare en moderne udgave af ActiveX. Windcape (#16)

JScript (ActiveX) local fil adgang: http://msdn.microsoft.com/en-us/library/2z9ffy99%28VS.85%29.aspx

Som sagt, velkomme til for 10 år siden Mozilla :-)Windcape (#17)

Ja, men folk har bashet ActiveX for disse her muligheder i et årti.

Hvor jeg så finder det utrolig latterligt at ligeså snart Mozilla indfører det i Firefox, så er det helt okay.
Windcape (#21)

Det foreslåede har ikke nogen ligheder med ActiveX.

ActiveX tillader plugins i native kode som ikke kan sandboxes af browsere.

Dette her tillader at køre noget JavaScript som altså er sandboxed i forbindelse med HTML/HTTP fil upload.

FireFox tillader naturligvis plugins med native kode tilsvarende ActiveX og har gjordt det fra dag 1.

Enhver browser som skal understøtte Java, Flash etc. har brug for en sådan mulighed.

Jeg er iøvrigt ret enig i at ActiveX har fået en "ond klang", hvilket er lidt fjollet, da det bare er en komponent standard ligesom UNO, Java Beans etc..

Alt det med at det 'bare' er en moderne activex, jamen igen, activex er kun for IE og nærmest ingen benytter det,webwarp (#18)

Jeg tror at stort set alle IE brugere har et større antal ActiveX plugins installeret: PDF, Flash, Java etc..

Det er muligt at antallet af virksomheds specifikke ActiveX plugins er faldende.

Det er der sikkert flere grunde til:
- antallet af folk der kan skrive ActiveX plugins er begrænset
- FireFox'es andel af browsermarkedet er stigende og det er dyrt at udvikle forskellige plugins til IE, FF og andre
- man har indset at det er svært at skrive sikre browser plugins

Og alle virus programmører klapper i deres små hænder!