Bookmarklets und FireFox

Da ich mal testweise meine Umgebung etwas umgebaut habe und CodeTek Virtual Desktop rausgeflogen ist konnte ich mal ein bischen mit FireFox spielen (der ist ja mit dem CodeTek-Teil inkompatibel und macht ziemlich viel Murks wenn man ihn damit benutzt). Dabei ist mir was seltsames aufgefallen: wenn ich das Bookmarklet von WordPress benutze, mit dem ich eine Seite bloggen kann, dann wird das kleine Fenster immer in den Hintergrund gestellt. Irgendwie blöd - man muss die grosse Webseite vorne wegklappen um dranzukommen. Hat sowas noch jemand mal gesehen und weiss vielleicht eine Lösung?

Erstmal bin ich beim Browser wieder auf Camino zurück. Ist ja vom Renderer her sowieso das gleiche.

tags: Firefox

marc Feb. 6, 2005, midnight

update.mozilla.org/extensions/...os=Windows...

Da sollte es so etwas geben ;)

hugo Feb. 6, 2005, 12:11 a.m.

Also wirklich. Erstmal hast du da Windows ins Betriebssystem gepackt und das find ich ja hier schon fast obszön ;-) und zum Anderen gehts ja nicht um irgendein Plugin. Sondern darum, das der blöde Browser einfach das neue Fenster in den Hintergrund schmeisst, statt es vorne zu lassen wo er es ja aufmacht.

Browser sind halt alle blöd und haben doofe Ohren.

Chaoswind Feb. 6, 2005, 10:22 a.m.

Denkbar das dieses Verhalten mit JavaScript ausgelöst wird. Du kannst mal in den Einstellungen bei Web-Features schauen, da ist ein button um die JavaScript-Features einzustellen, u.a. auch um abzustellen das Fenster Verschoben werden oder nach Vorne/Hinten gebracht werden.

hugo Feb. 6, 2005, 11:14 a.m.

Also ich hab ihm erlaubt Fenster zu verändern und nach vorne und hinten zu packen. Also halt alle Fenstermanipulationen sind erlaubt - von daher sollte das Bookmarklet auch ordentlich tun. Es funktioniert auch bei allen anderen Browser problemlos - Safari, IE, Camino, Opera, OmniWeb hab ich alle getestet - nur FireFox und Mozilla (wenigstens beide) machen diese Zicken. Strange.

Chaoswind Feb. 6, 2005, 1:29 p.m.

Hm, eigentlich sollst du ja die Option abstellen ;)

Übrigens auch aus Sicherheitsgründen zu empfehlen um Trojanern die Grundlage zu nehmen.

hugo Feb. 6, 2005, 1:32 p.m.

Nunja, es wird sicherlich noch eine Weile dauern bis Trojaner Systemübergreifend funktionieren und unter Mac OS X lauffähig werden ;-)

Chaoswind Feb. 6, 2005, 2:46 p.m.

Solange er im Browser laeuft reicht es. Einfach ein Fenster an die richtige Stelle schieben damit der User einen Abfrage-Dialog bestaetigt von dem er gar nichts weiss um eine Sicherheitslücke im Browser zu nutzen die er gar nicht kennt... Alles schon vorgekommen ;)

hugo Feb. 6, 2005, 3:26 p.m.

Was dann aber kein Trojaner ist, sondern eher Phishing entspricht. Und dagegen hilft nur den eigenen Kopp benutzen. Klar, potentiell kann man Sicherheitslücken im Browser nutzen - aber die meisten davon sind dann doch eher auf ganz anderer Ebene. Es ist viel leichter Bugs in der Behandlung von JPGs auszunutzen als komplizierte Abläufe zu faken - vor allem weil man bei dem JPG-Bug direkten Code ausführen kann, bei JavaScript-Attacken aber erstmal das JavaScript-Laufzeitsystem verlassen muss (wozu dann natürlich ein anderer Bug dienen kann - aber dann kann man auch den gleich direkt ausnutzen).

JavaScript ist mitlerweile deutlich besser als sein Ruf - auch in Bezug auf die Sicherheit. Viel schlimmer sind die ganzen Plugins und Erweiterungen - und beim IE das Grundsystem.

Chaoswind Feb. 6, 2005, 6:08 p.m.

Mit Trojaner meinte ich eine Schaedliche Aktion die sich hinter einer normalen Aktion verbirgt. Mag sein das es da irgendein Modischeres Buzzword fuer gibt, ich haeng halt lieber an althergebrachtem.

Was die schaedlichkeit anbelangt, bei Firefox ist es nun mal eine reele Bedrohung. D.h. es eine der gefaehrlichsten Bedrohnungen, nachdem alles andere entschaerft wurde ;)
Und ich verfahre da lieber nach dem Grundsatz unnuetze Features mit potentieller Bedrohung zu deaktivieren als zu hoffen das sie eines Tages doch mal nuetzlich werden.


hugo Feb. 6, 2005, 6:16 p.m.

Tja - nur hilft dir da das Abschalten der Fensterpositionierungen nicht sonderlich. Helfen würde nur ein Abschalten von JavaScript an sich. Die wesentliche Anti-Phishing-Einstellung ist die Unterdrückung der Abschaltung von Statuszeile und Toolbar - denn dort steht die aktuelle Adresse drin, man sieht also was man klickt. Die Fensterpositionierung, Grössenänderungen etc. hilft allenfalls gegen Werbepopups - aber dafür gibts schon den Popup-Blocker, der da wesentlich sinnvoller ist.

Abschalten von Features ist ja ganz ok - nur sollten man das richtige Feature abschalten, sonst wiegt man sich nur in falscher Sicherheit ...

Chaoswind Feb. 6, 2005, 7:18 p.m.

Abschaltung von Fensterpositionierung, Grössenaenderung und in Vordergrund/Hintergrund stellen hilft selbstverstaendlich. Damit kann kein via JS geschaffenes Fenster mit minimaler grösse im Hintergrund geschaffen werden, an eine beliebige Stelle verschoben werden und dann im entscheidenden augenblick in den vordergrund gebracht werden.

Alternativ hilft es auch gegen nervige Werbung die aus wandernden oder im Vordergrund verharrenden Fenstern besteht.

hugo Feb. 6, 2005, 8:38 p.m.

Nope, das hat nicht wirklich viel miteinander zu tun. Die Toolbarabschaltung und die Statuszeilenabschaltung können ein Problem sein - denn dann kannst du nicht erkennen was eigentlich genau Sache ist in dem Fenster. Damit wird dir Information vorenthalten die unter Umständen dann zu falschen Aktionen führt. Klassischer Ansatz des Phishings.

Mit aktivierter Statuszeile und Toolbar kann sich ein Fenster auch nicht mehr als ein fremdes Anwendungsfenster ausgeben (was der Hauptansatzpunkt der klassischen JavaScript-Mimikry war) - du siehst das es ein Browserfenster ist. Wobei das bei OS X generell weitaus weniger problematisch ist als bei anderen Systemen, da durch den zentralen (und nicht durch JavaScript manipulierbaren) Menübalken am oberen Bildschirmrand ein Fenster nie ganz verstecken kann wem es gehört. Allerdings kann ein Browserfenster ohne Statuszeile und Toolbar verheimlichen welche Adressen angeklickt werden - genau deshalb schrub ich, das man diese Manipulationsmöglichkeit JavaScript deshalb besser ausschaltet.

Gegen nervige Werbung hilft in der Regel ein besseres Popup-Management. Das von Firefox ist aber schon ganz ok, da man die Site generell erstmal freischalten muss, damit sie überhaupt aufpoppen kann. Allerdings ist die Grössenänderung dann schon nervig, wenn Sites ihre Seite auf Maximalgrösse aufspannen. Hier würde ich mir schon detailliertere Einstellmöglichkeiten wünschen.

Das ist auch generell die bessere Lösung: eine site-bezogene Konfiguration von Rahmenbedingungen die für eine Site gelten. Denn Popup-Fenster - auch und gerade mit veränderten Grössen - sind bei vielen webbasierten Anwendungen durchaus sinnvoll und praktisch. Das man da bei Firefox nur Sekt oder Selters kann ist eher mager. Andere machen das besser (iCab und Omniweb kenne ich in dem Bereich direkt - wobei ich das Interface dazu von Omniweb deutlich besser finde als das von iCab).

Christoph Rummel Feb. 7, 2005, 7:28 a.m.

Hast Du, anstelle von Virtual Desktop, mal Desktop Manager ausprobiert? Bin ich sehr zufrieden mit.

hugo Feb. 7, 2005, 8:22 a.m.

Ich bin ja noch auf 10.2, da gibts leider nur den Virtual Desktop Manager. Der Desktop Manager ist genauso wie Virtue nur für 10.3 ...