Problém je mnohem horší než jen odflinknuté programy od profesionálů.
Tak třeba MSIE 5.5, když si někdo založí na serveru adresář končící znakem z ISO-Latin-1, tak MSIE požadavek pošle podle UTF-8, aniž kontroluje formální správnost řetězce.
Tedy třeba pro á si do řetězce vezme i uvozovky na konci URL-odkazu. A tím může být celá stránka v HTML interpretována úplně jinak. To už pak stačí, aby někdo na stránce napsal textově, tady byl ten virus v iframe a prohlížeč z toho při troše snahy udělá iframe s virem.
A tvůrce stránky se pod to může i podepsat, protože on všechno udělal přesně podle pravidel. (Dokonce i na W3.ORG je - nealoritmicky - napsáno, že kvůli kompatibilitě se starými verzemi, to má klient zkoušet podruhé, a to nikoliv v UTF-8.)
Připomínam, že tak odflinknuté UTF-8 jako v MSIE v jiných prohlížečích - nemyslím Netscape - není. A zkoušel jste někdo (zpravidla) nafoukaným programátorům vysvětlit, že si ani nepřečetli definici? Těm to vysvětlí až jedině hackeři.
Pro skutečný příklad netřeba chodit daleko. V roce 1996 vyšla platná specifikace UTF-8, v roce 1998 byla aktualizována a hlavně tam připsali, že na WWW-serverch je extra třeba dávat pozor, aby přes nepovolené kombinace někdo nekodoval ../ .
No a když to stále nechtěli programátoři z Microsoftu pochopit, že se to týká jejich IIS, tak to v roce 2001 někdo použil v Nimdě. Je ale pravda, že tam není použito normální lomítko / ale zpětné lomítko \ . To je pro programátory opravdu omlouvou, protože takové exaktní zobecnění nikdo po koderech nemůže chtít, Ale snad mají nějakého vedoucího ...
