haribo: Firtefox ignoriert window.open-Attribute?

Hallo auch,
ich versteh' da was nicht.
Erstmal Hintergrundinfo: Ich programmiere gerade ein CMS in PHP, das eine Bildersammlung verwaltet. Beim Click auf ein bestimmtes Bild soll dieses in einem Popup-Fenster angezeigt werden. Funktioniert auch problemlos -nachdem ich den URL als Ausnahme im Popup-blocker eingetragen habe. Das Bild wird also in einem neuen Fenster angezeigt; nur leider steht der Datei-name des Bildes in der Titelleiste des neuen Fensters und sogar der relative Pfad in der Adresszeile!!
Das würde ich gerne unterbinden -wg. Datenschutz etc. Und laut selfhtml.wiki soll das ja auch ganz einfach gehen, indem man lediglich bei der Definition des neuen Fensters als dritte(n) Parameter -übrigens steht da "Erwartet mindestens drei, optional auch vier Parameter", laut selfhtml sind es aber mindestens zwei und optional drei- location=yes/no und/oder menubar=yes/no angibt.

Zum testen habe ich jetzt eine kleine html-site geschrieben, die nur solch ein Popup öffnet:

<html>  
 <head>  
  <title>test_windowOpen.html</title>  
  <meta charset="utf-8">  
  <script type="application/javascript">  
   neuesFenster = window.open('tmp.jpg', 'Popup', 'width=300,height=400,left=100,top=200,menubar=no');  
   neuesFenster.locationbar.visible = false;  
   neuesFenster.focus();  
 </script>  
 </head>  
 <body>  
  
 </body>  
</html>  
  

Und egal, ob ich jetzt "location/menu" oder "locationbar/menubar" schreibe oder deren Wert ".visible" auf "false" setze, Pfad und Dateiname werden immer angezeigt.

Vergess' ich da jetzt was, mach' ich prinzipiell was falsch, versteh' ich was falsch...?

  1. Hallo

    … ob ich jetzt "location/menu" oder "locationbar/menubar" schreibe oder deren Wert ".visible" auf "false" setze, Pfad und Dateiname werden immer angezeigt.

    Vergess' ich da jetzt was, mach' ich prinzipiell was falsch, versteh' ich was falsch...?

    Das ist eine feste Einstellung der Browser, mit der aus Sicherheitsgründen angezeigt wird, wo man sich befindet. Das schlägt deine Datenschutzbedenken (worin die auch immer bestehen) um Längen.

    Tschö, Auge

    --
    Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war.
    Terry Pratchett, "Wachen! Wachen!"
    ie:{ fl:| br:> va:) ls:[ fo:) rl:( ss:| de:> js:| zu:}
    Veranstaltungsdatenbank Vdb 0.3
    1. Das heißt also, der user siehr diese Daten generell? Wo ist da bitte der DatenSCHUTZ? Denn so kann er ja den relativen Pfad direkt in ein Browserfenster eingeben und sieht das originale Bild in original Größe!
      Und wozu gibt es diese Attribute dann, wenn sie sowieso ignoriert werden, oder werden sie tatsächlich u.a ausschließlich nur von Firefox 1 unterstützt? Meiner Meinung nach wäre das doch ein Rückschritt.

      1. Mahlzeit,

        Das heißt also, der user siehr diese Daten generell? Wo ist da bitte der DatenSCHUTZ?

        Wo ist der Schutz, wenn ich mit ein klein wenig Wissen an diese Daten komme, auch wenn sie nicht direkt angezeigt werden? Du schützt gar nichts, und wenn du glaubst, dass du das tust, machst du einen gefährlichen Fehler!

        Da halte ich den Schutz des Besucher für relevanter, damit er nachvollziehen kann, woher die Inhalte kommen. Wenn du das verstecken willst, könnte man auch meinen, die willst was unterjubeln und es verschleiern.

        Wenn du keine Pfade anzeigen willst, schreib dir nen Wrapper der als Parameter ne ID hat und nach dieser ID wird das Bild eingebunden.

        --
        42
        1. Wo ist der Schutz, wenn ich mit ein klein wenig Wissen ...

          Eben darum will ich ja diese Anzeige (der sensiblen Server-daten) unterbinden. Aber hast recht, man könnte ja auch einfach in' source-code schauen... ich arbeite besser gleich mit qualitativ reduzierten und mit einem Aufdruck versehenen thumbnails und die originalen Bilder liegen dann ganz woanders. Wenn ein user ein bestimmtes Bild im orirginal haben will soll er mailen.

          Da halte ich den Schutz des Besucher für relevanter, damit er nachvollziehen kann, woher die Inhalte kommen. Wenn du das verstecken willst, könnte man auch meinen, die willst was unterjubeln und es verschleiern.

          Ich halte den Schutz MEINER Serverstruktur für wichtiger. Die braucht ein user nicht zu kennen, wenn er meine Identität im Impressum nachlesen kann.

          Wenn du keine Pfade anzeigen willst, schreib dir nen Wrapper der als Parameter ne ID hat und nach dieser ID wird das Bild eingebunden.

          z.B.

          1. Mahlzeit,

            ich arbeite besser gleich mit qualitativ reduzierten und mit einem Aufdruck versehenen thumbnails und die originalen Bilder liegen dann ganz woanders.

            An darum gehts dir? Eigne dir Grundwissen an. Wenn ein Bild im Browser erscheint, wurde es bereits auf der Festplatte des Seitenbesuchers gespeichert. Deine Seitenstruktur interessiert dabei keine Sau ;)

            Ich halte den Schutz MEINER Serverstruktur für wichtiger.

            Wieso sprichst du dann von Datenschutz? Hat damit absolut _gar nichts_ zu tun.

            Die braucht ein user nicht zu kennen, wenn er meine Identität im Impressum nachlesen kann.

            Und wieso glaubst du, ist das für den User relevant? Mal abgesehen davon, dass die Struktur im Browser mit der Struktur im Dateisystem nicht übereinstimmen muss.

            Wenn du keine Pfade anzeigen willst, schreib dir nen Wrapper der als Parameter ne ID hat und nach dieser ID wird das Bild eingebunden.

            z.B.

            Das hat aber  nichts damit zu tun, dass die Bilder nicht speicherbar sind. Das sind sie immer.

            --
            42
            1. An darum gehts dir? Eigne dir Grundwissen an. Wenn ein Bild im Browser erscheint, wurde es bereits auf der Festplatte des Seitenbesuchers gespeichert. Deine Seitenstruktur interessiert dabei keine Sau ;)

              eben, deshalb: thumbnails. Denn die werden von PHP auf dem Server generiert und gespeichert BEVOR irgendwas an den Client geschickt wird! Der Client erfährt dann nur den Pfad zu diesen qualitativ reduzierten und mit einem Aufdruck versehenen (Stichwort: Wasserzeichen) thumbnails.

              Ich halte den Schutz MEINER Serverstruktur für wichtiger.

              Wieso sprichst du dann von Datenschutz? Hat damit absolut _gar nichts_ zu tun.

              Na, MEINE Daten (und der Weg dahin) sind doch schützenswert?

              Die braucht ein user nicht zu kennen, wenn er meine Identität im Impressum nachlesen kann.

              Und wieso glaubst du, ist das für den User relevant? Mal abgesehen davon, dass die Struktur im Browser mit der Struktur im Dateisystem nicht übereinstimmen muss.

              k.A., ich bin kein Cyber-Krimineller.

              Wenn du keine Pfade anzeigen willst, schreib dir nen Wrapper der als Parameter ne ID hat und nach dieser ID wird das Bild eingebunden.

              z.B.

              Das hat aber  nichts damit zu tun, dass die Bilder nicht speicherbar sind. Das sind sie immer.

              Ja, die qualitativ reduzierten und mit einem Aufdruck (Wasserzeichen) versehenen thumbnails kann ein user soviel speichern und verwenden, wie er will. Wenn dann halt irgendwo ein Bild mit der Aufschrift "Copyright by "mir"" auftaucht, muss der Verantwortliche sich halt Fragen gefallen lassen und ggf. mit ner Anzeige rechnen.

              1. Hallo

                Ich halte den Schutz MEINER Serverstruktur für wichtiger.

                Wieso sprichst du dann von Datenschutz? Hat damit absolut _gar nichts_ zu tun.
                Na, MEINE Daten (und der Weg dahin) sind doch schützenswert?

                Abgesehen davon, dass du mit den Thumbnails eine passable technische Lösung hast, *veröffentlichst* du Daten (hier Bilder). Wenn du die für derartig schützenswert hältst, dass du den Widerspruch in deiner Argumentation zwischen gewollter *Veröffentlichung* und dem Schutz der zu *veröffentlichenden* Daten nicht erkennst, *veröffentliche* sie nicht.

                Wenn du nun Thumbnails nutzt, hoffe ich, dass du auch so konsequent bist, die Originale nicht auf dem Webserver zu speichern. Dann wären sie ohne weitere technische Maßnahmen nämlich weiterhin öffentlich zugänglich.

                Tschö, Auge

                --
                Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war.
                Terry Pratchett, "Wachen! Wachen!"
                ie:{ fl:| br:> va:) ls:[ fo:) rl:( ss:| de:> js:| zu:}
                Veranstaltungsdatenbank Vdb 0.3
              2. Mahlzeit,

                eben, deshalb: thumbnails. Denn die werden von PHP auf dem Server generiert und gespeichert BEVOR irgendwas an den Client geschickt wird! Der Client erfährt dann nur den Pfad zu diesen qualitativ reduzierten und mit einem Aufdruck versehenen (Stichwort: Wasserzeichen) thumbnails.

                Damit widersprichst du deiner Forderung, den Datei"Pfad" zu verschleiern. Wenn das jetzt dein Ziel ist, ist der OP dadurch quasi nichtig ;)

                Na, MEINE Daten (und der Weg dahin) sind doch schützenswert?

                Du hast, trotz mehrfacher Hinweise, immer noch nicht verstanden, was "Datenschutz" bedeutet. Wikipedia könnte dir da helfen.

                k.A., ich bin kein Cyber-Krimineller.

                ALso ist jeder, dessen Ordnerstruktur nicht mit der im Browser übereinstimmt, oder jeder, der sich damit auskennt, ein Cyberkrimineller? Diese Aussage dürfte sogar strafrechtlich relevant sein, da du hier mindestens eine Straftat oder sogar ein Verbrechen unterstellst.

                Du solltest mit solchen Aussagen sehr vorsichtig sein.

                Ja, die qualitativ reduzierten und mit einem Aufdruck (Wasserzeichen) versehenen thumbnails kann ein user soviel speichern und verwenden, wie er will. Wenn dann halt irgendwo ein Bild mit der Aufschrift "Copyright by "mir"" auftaucht, muss der Verantwortliche sich halt Fragen gefallen lassen und ggf. mit ner Anzeige rechnen.

                Ja, diese Lösung macht absolut Sinn. Ich setze das bei meinen Bildern ähnlich um. Allerdings zeigt es wieder deutlich, wie unnütz das Vorhaben ist, die URL zu verschleiern.

                Evtl. wäre auch noch ein unsichtbares Wasserzeichen  in den Bildern sinnvoll. Ich habe einem Kunden ein System entwickelt, das bei jedem Bild eine eindeutige ID einbettet. Wenn nun eins der Bilder im Netz auftaucht (und das Wasserzeichen nicht entfernt wurde), kann exakt nachvollzogen werden, wer das online gestellt hat.

                Zusätzlich solltest du dir passende Lizenzvereinbarungen durch einen Fachanwalt formulieren lassen. Die sind mindestens so wichtig wie der technische Schutz, wenn nicht noch wichtiger.

                --
                42
      2. Hallo

        Das heißt also, der user siehr diese Daten generell? Wo ist da bitte der DatenSCHUTZ?

        Was für ein Datenschutz? Du hast öffentlich [1] zugängliche Bilder, deren Pfade sowieso im src-Attribut stehen. Welche Daten willst du da schützen?

        Denn so kann er ja den relativen Pfad direkt in ein Browserfenster eingeben und sieht das originale Bild in original Größe!

        Ja, und? Das kann er auch, wenn er sich den Quelltext der im Popup aufgerufenen Seite anschaut und das src-Attribut des img-Tags ausliest, worin der Pfad zum Bild im Klartext zu finden ist. Das kann er auch, wenn er ein mit Live-HTTP-Headers vergleichbares Tool nutzt. Dort stehen die Pfade aller aufgerufenen Ressourcen, also auch der Bilder, im Klartext drin.

        Und wozu gibt es diese Attribute dann, wenn sie sowieso ignoriert werden, oder werden sie tatsächlich u.a ausschließlich nur von Firefox 1 unterstützt? Meiner Meinung nach wäre das doch ein Rückschritt.

        Es war und ist immer noch ein großes Sicherheitsproblem, die URL der angezeigten Seite vor dem Benutzer zu verbergen. Der weiß so nämlich nicht, ob er sich noch auf einer Seite der ursprünglich aufgerufenen Site befindet oder schon bei einem Werbenetzwerk, Malwareverteiler, wasauchimmer. Um die Chance zu bieten, als Benutzer zu sehen, wo man ist, werden die entsprechenden Parameter heutzutage von allen Browsern [2] ignoriert und das ist auch gut so.

        [1] Wie groß die Öffentlichkeit auch immer sein mag. Es kann sich ja auch um ein Intranet handeln.

        [2] Mir ist zumindest kein Browser bekannt, der das anders handhabt.

        Tschö, Auge

        --
        Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war.
        Terry Pratchett, "Wachen! Wachen!"
        ie:{ fl:| br:> va:) ls:[ fo:) rl:( ss:| de:> js:| zu:}
        Veranstaltungsdatenbank Vdb 0.3
      3. Hallo,

        Das heißt also, der user siehr diese Daten generell?

        Ja, so funktioniert das Web.

        Wo ist da bitte der DatenSCHUTZ?

        Datenschutz ist ein RECHTLICHES Konzept, kein TECHNISCHES. Es ist nicht möglich, mit Webtechniken Inhalte und Daten auszuliefern, die nicht auf die eine oder andere Weise ausgelesen werden können.

        Technische Lösungen dafür existieren, die nennen sich Digital Rights Management (DRM), und bringen ihre eigenen Probleme mit sich. Die üblichen Webstandards (HTML, CSS, JavaScript) unterstützen kein DRM, sofern man von den »Encrypted Media Extensions« für Audio/Video absieht.

        Rechtliche Lösungen dafür existieren und haben sich bewährt: Das Urheberrecht, Nutzungslizenzen und ein juristischer Apparat, mit dem Urheber ihre Rechte durchsetzen können.

        Denn so kann er ja den relativen Pfad direkt in ein Browserfenster eingeben und sieht das originale Bild in original Größe!

        Ja, so funktionieren HTTP und URIs. Das gilt für alle HTTP-Ressourcen.

        Und wozu gibt es diese Attribute dann

        Weil jemand im Jahr 1996 eine schlechte Idee hatte, die dann schnell als schlechte Idee erkannt und verworfen wurde.

        Meiner Meinung nach wäre das doch ein Rückschritt.

        Die Sichtbarkeit der Adressleiste ist äußerst wichtig, um Phishing zu verhindern.

        Zu Popups generell siehe:
        http://molily.de/javascript-popups

        Mathias

      4. Das heißt also, der user siehr diese Daten generell? Wo ist da bitte der DatenSCHUTZ? Denn so kann er ja den relativen Pfad direkt in ein Browserfenster eingeben und sieht das originale Bild in original Größe!

        Nicht unbedingt! Siehe Direktaufruf für Bilder sperren

        Das ist kein Datenschutz, nur eine Barriere, mehr nicht.

        1. Das heißt also, der user siehr diese Daten generell? Wo ist da bitte der DatenSCHUTZ? Denn so kann er ja den relativen Pfad direkt in ein Browserfenster eingeben und sieht das originale Bild in original Größe!
          Nicht unbedingt! Siehe Direktaufruf für Bilder sperren

          Das ist kein Datenschutz, nur eine Barriere, mehr nicht.

          Anstelle einer Barriere erhält man dort ein Tor ins Dateisystem des Servers, mehr nicht.

          \0

  2. Hallo,

    Das würde ich gerne unterbinden -wg. Datenschutz etc.

    Wenn dein User das Bild in einem Popup sieht, anschließend rechtsklick  -> Grafik Info anzeigen auswählt, sieht dieser ebenfalls den Vollständigen Pfad.

    Das gleiche gilt auch, wenn er rechtsklick -> Grafik anzeigen wählt.

  3. Mahlzeit,

    Beim Click auf ein bestimmtes Bild soll dieses in einem Popup-Fenster angezeigt werden.

    Wieso eigentlich ein Popup? das war in den 90ern schon nicht mehr modern. Wenn der Besucher das Bild in einem neuen Fenster/Tab öffnen will, kann er das machen, ihm diese Entscheidung aufzuzwingen, ist nicht nett.

    BTW: Per Default öffnen Browser "Popups" in einem neuen Tab (zumindest war das mal Standard im FF und Chrome), dann seh ich die Adresse auch. Und verhindern kannst du das gar nicht.
    Die einzige Möglichkleit, das zu verhindern, ist das Bild vom Netz zu nehmen. Das erschwert das Anzeigen aber enorm :D

    --
    42