Falsk virus-advarsel skaber kaos i it-danmark

Personligt mener jeg fejlen ligger hos dem, der bruger det hjemmestrikkede 'packer', frem for den anerkendte gzip standard.

Det hjemmestrikkede 'packer', er jo stærkt obfuskeret, se f.eks. Version2's brug:
http://www.version2.dk/modules/util/include/mootools-release-1.11-compre...

Det er de samme metoder der bliver brugt i forbindelse med udbredelse af malware.

Det giver, i mine øjne, et problem at skelne hvornår det er lovlig obfuskering, og hvornår det er malware.

Jeg er ikke overrasket over det (false positives) måtte komme, men jeg vil mene at løsningen er at bruge ikke obfuskeret javascript, frem for at indbygge mere og mere problematiske algoritmer i antivirus programmerne.

Derudover giver dette unødige overforbrug af javascript performanceproblemer (=anti grøn IT) på ældre maskiner, herunder min, men jeg kan heldigvis køre uden javascript.

Jeg må indrømme, at jeg har svært ved at forstå, hvorfor det skulle være nødvendigt at obfuskere JavaScript på et legitimt websted

Jeg har gentagne gange spurgt om det samme i dk.edb.webdesign.clientside gruppen.

Det eneste svar jeg får er at det 'fylder mindre' (båndbredde).

I mine øjne er der en god betragtning hvis man har dial-up modem ;)

Af diplomatiske årsager tror jeg ikke jeg vil udtale mig om det generelle vidensniveau (i DK).

Jeg kan ikke sige andet end jeg er enig nærmest helt igennem. Man gør scriptet ulæseligt, og sparer noget plads. Derefter bruger man et andet script, som bruger plads ...hm... og hukommelse...? til at pakke det ud. det virker ikke specielt genialt. Der er en del flere kodelinjer i HTMLen, end designet berettiger til, bl.a. sjovt nok inline JS. Så forstår ikke, man starter helt oppe i tredje lag med at ville spare plads (og lader det gå ud over hastigheden). Det er da uendelig dårlig kodeskik. At en obsfucater er mistænksom, er jeg også enig i, det skjuler kode, som skal køres hos mig, man er da dum, hvis ikke man finder det mistænkeligt. Det er helkler ikke standard, og vil bestemt aldrig blive det. Mit princip er, aldrig lægge noget ud, som man i virkeligheden gerne vil skjule for andre. En hjemmeside skal kunne stå inde for alt indhold - også koden.

Du har ikke overvejet at se det fra serversiden?

Jeg er inkarneret servermand :)

Min egen løsning er at lægge .js filer i gzippet stand på min server.

Det sparer mere plads end det hjemmestrikkede, koster ikke ekstra server ressourcer for klineter, der understøtter gzip - selv Lynx understøtter gzip.

På brugersiden er der stort set ingen performance penalty, da g(un)zip er 'wired ind' i browseren.

Brugen af obfuscated javascript implecerer netop det problem som bla. Version2 har oplevet.

Hvis et antivirusprogram skal tjekke skidtet on the fly, skal det i virkeligheden 'dekomponere' scriptet i de niveauer, der nu måtte være.

Hvis man generelt 'ser bort fra' packer i antivirus sammenhæng, åbner man en god mulighed for malwareproducenter til at benytte packer som indkapsling til deres skrammel.

Som du kan udlede af min løsning, er der tale om grøn IT med besparelser på alle fronter/server,klient,båndbredde) , uden at obfuskere javascript.

Det samme princip med 'for zippede filer' gælder i øvrigt også .html og .css - osv - filer.

At man ikke evner at udnytte gzip, som er en standard siden sidste årtusinde, synes jeg er et ringe argument for at hjemmestrikke en javascript 'packer'.

Men som de siger, når jeg brokker mig over hastigheden - Køb dig en nyere og kraftigere PC.

Gu vil jeg da ej købe en ny PC, blot for at læse Version2.

Version2 er komplemt umulig for mig med javascript enabled, men så længe jeg kan læse den uden javascript, går det nok.

Hvis den bliver umulig at læse, bliver udfaldet ikke en ny PC, men at Version2 mister en læser.

"Øh, nej. Javascriptet kører normalt selv om det er minificeret."

Jeg er ikke helt med. Tales der ikke om en obfuscating, altså sløring af koden, og ikke kun at fjerne white-spaces?

Hvis du har optimeret dit script, og her mener jeg selve koden, så vil en ny kode, som lægges ovenpå for at sløre det, vel også bruge ekstra ressourcer, og det kommer alene den, som har lavet scriptet til gavn, ikke brugeren, som skal køre scriptet.

Hvis man ønsker at skjule koden, så er fremgangsmåden forkert, for har man først lagt noget op, er det ikke skjult mere.

Er meningen at øge hastigheden af download, så vil GZIP virke for alle de browsere, vi har testet, her indbefattet Lynx i 2-3 forskellige versioner. Derudover er der jo det med HTMLen, hvor der er en del fyldkode. Det vil være mere logisk at rette det først.

Ydermere, så er GZIP en standard, det er en stacker ikke. Jeg vil sige, har man brug for at indsætte en stacker/packer aht. hastighed, så har man kodet forkert fra start.

V2s hjemmeside er så ikke blandt de værste, måske endda langtfra når man ser, hvordan andre indlejrer reklamer fra 3.part, så der skal mega-kommunikeres imellem 2 servere, og har de dér tænderskærende irriterende grønne links i selve teksten. V2-designet er stadig clean, og ikke mindst uden invaderende reklamer, det batter en del hos mig. Men hver gang man indfører en ting, som er "mistænkelig" eller ikke brugbar for brugeren, så tager det jo noget af imaget. Eller man kan sige, det virker sådan lidt klodset rent kodemæssigt.

Der er tale om en komprimering af selve koden

Der er ikke kun tale om 'komprimering af koden', som du skriver.

Der også tale om at det 'komprimerede kode' skal køres 2 gange.

Hvis man kigger på 'packer' kontruktionen, så ser den sådab her ud:
eval(function(p,a,c,k,e,d)+en helvedes masse skrammel.

Det betyder, at klienten først kører en eval af hele skidtet, og denne eval danner så det rigtige javascript, og først DERFTER kan det køres (hvis det virker).

Der er med andre ord tale om et script, der danner et script, der køres.
Det er denne 'sourcekode generering', der er årsagen til overforbrug af ressource på klienten.

Jeg har en lille javascript evaluator kørende her:
http://w-o-p-r.dk/wopr.tools/wopr.javascript.eval.asp
Her kan man indsætte koden inde i den første eval, og få vist det 'dekomponerede' javascript.

Det kunne være, at vi ville få yderligere gevinst af at gzippe

Man vil ikke få særlig fordel ved yderligere af gzip'e, da koden i forvejen er 'randomificeret'.

når det ikke er skriger-til-himlen dumt

Det er nok et lidt hårdt udtryk.

Hvis man vender den om, og angriber den ud fra 'faglig stolthed', så er der i det hele taget en kedelig tendens til at sub-optimere vha disse monster 'frameworks', som også jQuery.
Det svarer til at finde en 'all-mighty-all-functions-in-one-swiss-army-knife' selvom man kun har brug for en neglefil.

Med sub-optimering mener jeg, at man påtvinger en download af op mod 200KB for at spare et par bogstaver.

Her er f.eks. et svar ovre fra .clienside gruppen, hvor der er en der spørger om at skifte farve:

<a href="#" onmouseover="$(this).addClass('selected')" onmouseout="$(this).removeClass('selected')" > uden jquery, så skal du have fat i document.getElementById(this).className = 'selected'

Bemærk her, at for at undgå at kende til/bruge document.getElementById, anbefaler posteren at benytte jQuery som udgangspunkt.

Jeg lavede i øvrigt en test af jQuery, med zip ctr. packer.
Jeg fjernede kommentarerne, og gzippede skidtet, og her fyldte gzip versionen mindre end den 'packede' verseion.

Nå, men det med overforbrug.
Man kan spare [b]væsentlig[/b] mere plads/båndbredde, ved kun at benytte den delmængde af disse 'frameworks', som man rent faktisk [b]bruger[/b]

Nu kan det godt være jeg lyder lidt hård, men baggrunden er netop Version2's slogan:
IT for professionelle.

I mine øjne er disse overforbrug ikke 'professionelle'.

Jeg glemte at komme ind på malware problemstillingen med brug af eval, men jeg går ud fra, at man kan udlede, at antivirusfirmaer bliver nødt til at implementere en fuld javascript parser, hvis man skal undersøge hvad der ligger inde i eval (her = packer).
Eventuelle <script>/<iframe> attacks, kan ikke direkte udeledes af den indledende javascriptkode.

Som tidligere nævnt, vil jeg ikke skyde skylden på antivirusfirmaer ved disse problemer, som nævnt i artiklen, men web-høkerne.

Hvis man kunne oplære folk til at kode uden eval, og får browserproducenterne til helt af fjende denne funktion, ville malware folket få meget sværere ved at lave phishingsites m.v.

Hvis man samtidig fjernede eval funktionen i PHP, ville man effektivt 'disable' en helvedes masse PHP-bot'er, og så ville verdenen se endnu bedre ud.