Espacio.ya.com

Seguridad

Esto no es una extensión de navegador. Si lo fuera, podría alterar el contenido de la página y mantener su "ejecución" en el contexto de seguridad apropiado. Como no lo es, usa javascript (o ActiveX) para cargar el contenido de ESDLV y usarlo como si fuera propio. Es decir, ejecuta lo que carga de ESDLV como si estuviera en el disco (o el sitio desde el que se abra control.htm).

Las implicaciones que esto tiene en la seguridad son variadas. Un poquito de código en una página cargada con control.html, podría:

• Enviar al servidor archivos del usuario
• Aprovechar un fallo de seguridad en el navegador, javascript, Java, o lo que toque ese día para hacer lo que le dé la gana con nuestro equipo

Iba a hacer una lista larga, pero creo que lo anterior es suficiente, sobre todo cuando uno llega a lo de "hacer lo que le dé la gana"...

Y no vale con fiarse de Gonzo. También habría que hacerlo de dinahosting (o los que manejen el servidor), de todos los usuarios de ESDLV y de los juáquers que revolotean ahí fuera. Seguro que muchos recordamos aún ciertos acontecimientos del pasado.

Archivos

La extensión txt es para que el servidor no lo ensucie con el código que mete para la publicidad.

Mozilla

• 16-09-2005
  • Corregido un problema potencial en el análisis de sintaxis con marcas de varias líneas y comentarios (html, no mensajes) que incluyan marcas.
  • Los comentarios, entradas y cuadros laterales pueden ocultarse/mostrase simplemente dando en el título.
  • Se mantiene el orden de la lista de comentarios al abrir otra entrada (dentro de la misma "sesión", seguimos sin usar cookies).
  • Cuando se pasa por la página principal, lista las entradas y las mantiene.
  • Oculta las entradas de la página principal si ya se han leído.
• 30-08-2005
  • Ahora sí carga enlaces a un documento distinto del que se está viendo.
  • Un poco más de paranoia en la comprobación de riesgos.
  • Los riesgos detectados se marcan en la ventana de comprobación como enlaces a ningún sitio, para poder revisarlos a golpe de tabulador.
• 25-08-2005
  • Control de márgenes.
  • Navegación por la estructura de hilos.
  • Salta a la posición correcta cuando se abre un enlace interno.
  • Al ordenar los comentarios por autor o título, las coincidencias se ordenan por fecha.
  • Pequeñas comprobaciones de seguridad.
• 24-08-2005
  • Las opciones de configuración más comunes se han movido al principio del script y se han añadido unos pequeños comentarios explicativos.
  • Posibilidad de abrir los enlaces a otros posts directamente con los controles.
  • Diferencia los comentarios vistos de los nuevos. Por lo visto, con una sesión abierta, el servidor marca todos los nuevos con id=new, no sólo el primero. Problemas: hay que estar registrado y con la sesión abierta, y no sé cómo se porta el servidor cuando hay varias páginas de comentarios. Ventajas: mucho más sencillo, no se guarda información localmente (puede accederse desde otro ordenador y se sigue teniendo la misma historia). Si nadie se queja, lo dejaré así.
• 22-08-2005
  • Controles de navegación y ocultación en los propios comentarios.
  • Repara algunos errores de sintaxis en la página: en particular, ya no hay que sufrir con negritas o cursivas sin cerrar.
  • Limpieza, reestructuración interna y otras cosas que no se ven.
• Versión "para abrir el apetito"
  • Mostrar/ocultar los diferentes elementos de la página.
  • Saltar a un mensaje concreto.
  • Listar mensajes ordenados por fecha, autor, título...
  • Diferenciar los mensajes anteriores a uno dado de los posteriores.
  • Censurar autores. El mensaje sigue estando ahí y puede verse con mostrar/ocultar. Desactivado por defecto.
  • Resaltar autores.

MSIE

• 16-09-2005
  • Arreglado el problema de los formularios de la ventanita.
  • Se mantiene el orden de la lista de comentarios al abrir otra entrada (dentro de la misma "sesión", seguimos sin usar cookies).
  • Cuando se pasa por la página principal, lista las entradas.
  • Posibilidad de ocultar las entradas de la página principal si ya se han leído (desactivada por defecto).
• 13-09-2005
  • Ya repara errores de sintaxis. Creo que con esto ya se pone al día.
• 12-09-2005
  • Véase el historial hasta la fecha de la versión para Mozilla.
  • No repara errores de sintaxis.

Pantallazo

Vale, vale... Pantallazo.

Por hacer

• Cargarme todos los innerHTML.
• Añadir los controles al cuerpo del mensaje.
• Corregir los cierres de negritas y cursivas.
• Recortar los mensajes largos (y añadir control para ver la parte oculta, claro).
• Recordar los mensajes vistos de una sesión para otra.
• Mejorar la seguridad: adquirir sólo los permisos estrictamente necesarios, tal vez añadir una comprobación muy inocente de formularios, referencias externas y carga de scripts.
• Mejorar la navegación "por hilos": abrir hilos en ventanas nuevas, "viajar" por la estructura, cambiar la indentación...
• Que funcione con la página principal.
• Comprobar la sintaxis antes de enviar comentarios.
• Más cosas que me vayáis diciendo.

La idea es que cada uno lo ajuste a sus gustos, sobre todo la forma de marcar los diferentes tipos de mensaje. Eso incluye los estilos de la página: ¿no te gustan los grises? ¿Las tres columnas? ¡Cámbialos!

Bugs

• Es lento.
• Adquire más permisos de los necesarios.
• La mayoría de las expresiones regulares (si no todas) son "para que funcionen", su significado no es estrictamente equivalente a lo que en realidad se busca.
• Supongo que no se ajusta a las especificaciones, ya que no me las sé.
• Pierde el foco al cargar una página. O lo que sea, no se pueden usar la teclas para moverse. Cuando en lugar de sustituir el documento actual, cargo el nuevo en una nueva ventana, esto no ocurre. Soluciones:
  • Cambiar displayResult() para que abra una nueva ventana. No creo que sea una buena idea.
  • Usar el ratón en vez del teclado. Otra mala idea. Sólo la pongo para decir que los que no usan el teclado para moverse por la página no tienen que preocuparse. En realidad, les recomiendo a ellos que se olviden del ratón.
  • (Mozilla) Seleccionar un enlace de alguna forma. Una pulsación del tabulador es suficiente. También valen búsquedas que lleven a un enlace, pinchar con el botón derecho del ratón o pinchar y arrastrar para que no se abra. Por lo visto si no es en un enlace no vale.
  • (MSIE) Pinchar en la ventana.

Me gustaría conocer con qué navegadores/sistemas/circunstancias funciona o no. Si puede ser, también el porqué. Ya que estamos, se aceptan parches.