On Wed, September 22, 2010 13:37, Thomas Schmidt wrote:
Ist es wahrscheinlich, dass ein Eingabefehler vorliegt? Wenn nicht, kann man den User ins Messer laufen lassen. Wenn doch, ist eine frühzeitige Warnung mit JS angebracht.
Viel Interessanter: kann eine absichtliche Fehleingabe vorliegen und kann diese schaedlich sein?
Von daher muss man sich den speziellen Fall ansehen, in typischen Webapplikationen fördert eine JS-Validierung an manchen Stellen die Usability.
Das ist es aber auch. JS ist pure Usability, es ist nicht Security und es funktioniert auch nicht immer.
Grundsaetze:
1) Eine Webapplikation muss auch funktionieren wenn $FEATURE abgeschaltet ist.
1a) $FEATURE = Javascript 1b) $FEATURE = Flash 1c) $FEATURE = $ALLESANDEREWASDIREINFAELLT
2) Eine Webapplikation darf kein Fehlverhalten zeigen wenn der Nutzer sie absichtlich manipuliert.
2a) Das gilt auch wenn der Nutzer/Angreifer bessere Tools als einen simplen Browser einsetzt.
2b) ...auch wenn der Angreifer mehr Ahnung hat als das Durchschnitts-Skript-Kid.
Konrad