Problém je mnohem horší než jen odflinknuté programy od profesionálů.
Tak třeba MSIE 5.5, když si někdo založí na serveru adresář končící znakem z ISO-Latin-1, tak MSIE požadavek pošle podle UTF-8, aniž kontroluje formální správnost řetězce.
Tedy třeba pro á si do řetězce vezme i uvozovky na konci URL-odkazu. A tím může být celá stránka v HTML interpretována úplně jinak. To už pak stačí, aby někdo na stránce napsal textově, tady byl ten virus v iframe a prohlížeč z toho při troše snahy udělá iframe s virem.
A tvůrce stránky se pod to může i podepsat, protože on všechno udělal přesně podle pravidel. (Dokonce i na W3.ORG je - nealoritmicky - napsáno, že kvůli kompatibilitě se starými verzemi, to má klient zkoušet podruhé, a to nikoliv v UTF-8.)
Připomínam, že tak odflinknuté UTF-8 jako v MSIE v jiných prohlížečích - nemyslím Netscape - není. A zkoušel jste někdo (zpravidla) nafoukaným programátorům vysvětlit, že si ani nepřečetli definici? Těm to vysvětlí až jedině hackeři.
Pro skutečný příklad netřeba chodit daleko. V roce 1996 vyšla platná specifikace UTF-8, v roce 1998 byla aktualizována a hlavně tam připsali, že na WWW-serverch je extra třeba dávat pozor, aby přes nepovolené kombinace někdo nekodoval ../ .
No a když to stále nechtěli programátoři z Microsoftu pochopit, že se to týká jejich IIS, tak to v roce 2001 někdo použil v Nimdě. Je ale pravda, že tam není použito normální lomítko / ale zpětné lomítko \ . To je pro programátory opravdu omlouvou, protože takové exaktní zobecnění nikdo po koderech nemůže chtít, Ale snad mají nějakého vedoucího ...
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).
