必威体育下载克里斯蒂安·海尔曼

您当前正在浏览安全类别的存档。必威体育简介

“安全”类别的存档

AjaxWorld东-寒冷天气,北极雪巡洋舰和感知的转变

星期四,3月27日,二千零八

我只是坐在蒙特利尔机场,等待延误的航班到达,然后送我回纽约,回到伦敦。最近几天我第一次在纽约阿贾克斯世界东部会议,然后去蒙特利尔,加拿大在编码员星期六在努伦开一个两个讲习班。可以说,我被炸得精疲力尽,但这是一个很好的机会,可以记录下我在这次旅行中的经历。让我们从AjaxWorld开始。

观众

AjaxWorld会议让我有点惊讶。从门票的价格和网站上解释所有其他演示文稿来看,我鼓足勇气站在一个大房间前,房间里满是出席会议所需的西服,而不是想去。结果我错了。观众是一群公司老板,项目经理,设计师和开发人员以及每个人都非常参与和感兴趣。我见过很多销售开发工具的公司,比如框架和IDE,一些执行公司(包括来自食品网络是谁带我出去吃真正的意大利菜的?纽约市风格)和真正令人惊讶的边缘开发人员,比如运行控制地球同步卫星的软件的人!我有很多有趣的问题和反馈,我很高兴在那里见到了所有人。

位置

会议在罗斯福酒店,位于离纽约中央车站一个街区的地方。这家酒店是20世纪20年代的一家充满魅力和宏伟的大酒店。你进入了这个地方,感觉自己像是置身于一个大力神波洛的插曲中。然而,对于这种规模的技术会议来说,这不是一个很好的选择。对于初学者来说,没有价格合理或稳定的互联网连接。即使是24美元/天的客房连接也像过山车一样上下起伏。这意味着我被开车到了街的另一边的百吉饼店(cosi),因为他们有免费的Wi-Fi(我相信这几天他们一定会杀人)。

至于演讲设施,主要的演讲厅是一个有很高天花板的舞厅,专门为赞助商的演讲和主题演讲预留。这个很容易让所有与会者都能适应,但是非常冷。所有其他的演讲都在较小的会议室进行,会议室的大小不足以容纳所有感兴趣的代表。投影仪被放在几排椅子中间,这使得你很难接触到屏幕,而且与会者不时会撞到它们。

酒店本身对于客房提供的舒适度也非常昂贵。我在蒙特利尔的酒店大约是每晚每间客房价格的三分之一,超现代,免费连接,每个房间都有一份传真和一个保险箱,并提供免费早餐。好啊,它是纽约市,罗斯福建于20年代,但逃跑就是逃跑,不管你怎么打扮。

组织和覆盖范围

除此之外,酒店在酒吧里有一个舒适的氛围,组织者尽最大努力控制一切。他们出色地完成了整个活动的拍摄和部分直播。当你需要帮助时,他们马上就来帮你了,一件非常不寻常的事情纽约市.目前的日程安排有足够多的讲义,你需要的地方到处都张贴着标语,每个代表都有一本关于Ajax的免费书,上面有一个巨大的徽章,告诉别人那个人是谁,他或她做了什么。我觉得自己得到了很好的照顾,很容易就被说服去做一个额外的演讲来代替另一个错过航班的演讲者。

唯一我不太喜欢的是并行演示的数量。我错过了很多我想看的东西,但不能,因为我不能把自己一分为二。聪明的公司确保他们派了几个人到那里,以便进行全面覆盖。

我的演示文稿

我的第一个演讲是一个没有出现的演讲者的空白填充物,我在前一天写了它。我谈到了我们现在有机会使用flash在网站上提供丰富的媒体内容,并在获得适当的美国石油学会.我最近对这个很感兴趣,和伟大的人一起工作阿拉尔巴尔干尼奎史蒂夫·韦伯斯特.作为例子,我展示了SWF对象允许您逐步增强HTML要包含闪光灯,如何悠悠图像上传器允许您使用flash批量上传文件,以及如何YouTube美国石油学会允许你用javascript控制在线视频.

我的主要和计划中的演示是使用事件驱动的设计为大型应用程序设计JavaScript,以展示雅虎地图和欧洲体育为例。这次演讲出人意料的一点是,我用南极巡洋舰作为类比来解释它。

南极雪巡洋舰是1937年为探索南极洲而建造的大型运载工具。巡洋舰必须完成的任务是一个令人惊讶的问题-它是要接待5名船员,并让他们在一年内免受可怕的寒冷,穿越5000英里的恶劣环境。这艘巡洋舰绝对是一个技术奇迹,它的发明者们想出了一个惊人的聪明的解决方案来解决他们所预期的问题,包括将轮子收回巡洋舰的机身,以克服裂缝,并重新利用发动机的热量,防止船员冻死。他们唯一忘记计划的是牵引力,当巡洋舰到达南极洲时,它的轮子空转,发动机几乎立刻过热。这艘巡洋舰被遗弃,20年后被发现被埋在冰中。现在还不知道它去了哪里,因为最后一次看到它的那块冰断了,被拖到了海里。

这就是我们如何构建应用程序的例子——我们假设在服务器端进行大量的过度工程,而没有意识到大部分应用程序工作将由浏览器在一个对我们未知的环境中完成。我想激励人们在假设一切都能正常工作以及我们可以预测我们的应用程序运行环境之前,先考虑Web应用程序的可用性和限制。

两次演讲都很充实,我得到了很好的反馈,我会对去那里的人感兴趣,我期待着看到这些视频。

其他演示文稿

我没有看到其他的演讲,但我得到的是:道格拉斯·克罗克福德的主题演讲是一个鲜明的提醒,我们用来创建Web应用程序的技术是多么的破碎,显示了安全缺陷和如何解决这些问题的想法。卡贾和ADSAFE一起被提到,道格拉斯解释了他关于Vats保护网络的想法。在过去的几天里,他的博客上发表了越来越多的细节,所以一定要检查那里。

在安全方面,有一个关于攻击向量的完整谈话
WatchFire的丹尼·艾伦(DannyAllan)精确地展示了无限制脚本注入对攻击者的影响。很容易忽视XSS这是对你的网站的一个普通的渗透,但是本演示文稿展示了一个完全补丁的新的火狐如何运行在一个有防火墙和最新的病毒软件的Windows机器上,可以通过恶意的javascript访问,并通过网络钓鱼和社会工程的混合获得各种密码和更深入的访问。

这个国际商用机器公司参与道场框架在一次联合演示中展示了Dojo的国际化和可访问性选项,我对该框架所涵盖的范围印象深刻。咏叹调关于如何使用i18n和a10y,我们给出了多少信息。伟大的工作!

我花了很多时间和那些恶作剧,专门用JavaScript编写的小部件框架。他们的演示展示了框架是什么以及它如何跨浏览器工作。它们还展示了小部件的令人印象深刻的性能,以及如何剥皮。不过,QooxDoo真正酷的东西还在酝酿之中,我会确保我们更仔细地观察这些家伙,并展示他们使用的一些巧妙技巧,以提高性能,并使用python构建脚本巧妙地构建应用程序代码。

我看到的最后一个演示是介绍如何构建具有本机外观和感觉的iPhone应用程序,这或多或少是对苹果给出的开发者指南混合介绍宫内节育器.我一点也没有受到这场演讲的启发,因为iPhone是一个非常好的平台,目前非常有趣。

总结和学习必威体育下载

总之,参加会议是值得的。所涉及的演示和主题的组合做得很好,我自己也意识到,现在是我们停止提倡将Web标准作为技术解决方案的时候了。Web标准的存在是为了确保可维护性和可预测性,但在企业界,我们已经迈出了更进一步的一步,而且像flex这样的技术,Silverlight和Comet需要我们密切关注,以确保我们在其中也有可预测和可维护的解决方案。道格拉斯作为浏览器模型被破坏的观点被认为是一条信息太强烈了,但我意识到现在终端用户所期望的很多事情都是不可能实现的。HTML/css/js我们一直在宣扬的三位一体。这并不意味着标准不重要——它们是实现方面的最佳实践。从技术上讲,我们必须振作起来对明年的变化感到惊讶。

让我们让2008年成为使用Ajax实现服务器端的一年。

星期日,12月30日,二千零七

我总是被大量的Ajax教程和示例所吸引,这些教程和示例完全忽略了Ajax应用程序的后端部分。很多时候,你会发现6-7行的javascript让客户机超文本传输协议请求,但是当谈到允许跨域请求所需的代理脚本时,很多人都将其掩盖为“你不需要知道这一点,只需使用这个脚本”。

如果提供的脚本没有那么糟糕的话,那就不是问题了。未初始化的URL是跨服务器脚本攻击的主要攻击点。如果你使用PHP_self作为表单的动作,您不应该对服务器上的大量邮件流量或网站上的文本链接感到太困惑,因为您没有签字并获得资金。

另一件令我吃惊的事情是,人们总是抱怨在客户端将数据从一种格式转换为另一种格式时的缓慢和问题。让我们不要自欺欺人:即使在所有文章之后,关于Ajax的书籍和播客我们仍然不知道访问者使用什么来查看我们的产品。我们无法确定使用了什么浏览器,如果涉及到辅助技术或有关运行浏览器的计算机规格的任何内容。对我来说,这使客户方成为进行大量计算和转换的最不可取的地方。

服务器端,另一方面,在你的控制之下,你知道它能做什么。复杂正则表达式,XSLT转换,所有这一切在后端上都要容易得多——而且您知道文本编码在引导时会起作用。Ajax应用程序的很多复杂性都是基于糟糕的体系结构和设计决策以及依赖客户端提供必要的功能。

所以如果你问我一个好的Ajax应用程序的客户机与服务器代码的比率是多少,我会说30%的客户机和70%的服务器。服务器上的70%应用于提供安全性,非javascript回退功能(yay可访问性)和将数据转换为小型,易于为客户消化块(思考HTML杰森)30%的客户端代码应该主要用于增强产品的可用性,并使访问者更容易实现他们的目标。

所以这是我2008年的计划:每当我谈论Ajax时,我都会尝试覆盖尽可能多的后端和前端。我会和其他专家合作,因为我自己创造了一些可怕的PHP在过去。我希望其他人也能效仿这个例子,因为Ajax是一个很好的机会,可以弥合前端和后端工程之间的鸿沟——我们必须互相沟通,才能创建一个好的应用程序。