Hallo,

Zum Beispiel dieser Beitrag über XSS (no, the other S) hat mich ebenso wie einige andere Beiträge überhaupt nicht überzeugt. Trivialer Unsinn, für den es m.E. keinen Vortrag braucht.

Du bezeichnest solche Angriffe als trivialen Unsinn?

http://www.nds.rub.de/media/emma/veroeffentlichungen/2012/08/16/scriptlessAttacks-ccs2012.pdf
http://contextis.co.uk/files/Browser_Timing_Attacks.pdf

Dieser Security-Paper gehören zu den wichtigsten, die in den letzten Jahren zu Browser-Sicherheit veröffentlicht wurden.

Ich persönliche kannte diese Paper schon vorher, trotzdem finde ich es wichtig, dass sie jemand auf einer CSS-Konferenz vorstellt. Darüber wird sonst nämlich nur auf dedizierten Security-Konferenzen wie z.B. https://appsec.eu/ gesprochen. Dort ist garantiert kein normalsterblicher Frontend-Entwickler anwesend.

Gibt es denn tiefere Weisheiten in einer "Sprache", die nichts anderes als Anweisungen bereitstellt, wie ein Element in einem gegebenen Ausgabemedium auszusehen hat? Ich denke, nein. Gute Güte, CSS-Konferenzen.... was es nicht alles gibt.

CSS ist mittlerweile sehr komplex. Webseiten-Layout ist sehr komplex. Wenn man die relevanten technischen Spezifikationen ausdrucken würde, könnte man ein ganzes Bücherregal füllen. Man nutzt mittlerweile einen Haufen an Software, um CSS zu erstellen und zu verarbeiten. Man nutzt verschiedene Patterns, um CSS sinnvoll zu strukturieren.

Frontend-Techniken wie HTML und CSS wurden lange unterschätzt. Diese Attitüde kommt bei dir ja auch durch, du kontrastierst diese Techniken mit »richtigen Programmiersprachen« und meinst, das nötige Wissen könnte sich mal eben beim Kaffee aneignen. Das kann man nicht.

Mathias