הצטרפות לדואר חשמלי | הסרת מנוי מדואר חשמלי | שלח מכתב | דף ראשי

 

 

 

 

 

אסור לשמור דפי אינטרנט בלי רשות של מיקרוסופט

07/08/2003 |   גיליון מספר 21

halemo

 

 

גולשים בישראל ובעולם שגולשים באינטרנט עם דפדפן אינטרנט אקספלורר מעודכן תמידית של מיקרוסופט נתקלים בבעיה הבאה: כשהם מנסים לשמור דפים מאתרי אינטרנט שונים, הדפדפן מסרב לשמור את הדף המבוקש ומפיק הודעת שגיאה מתאימה. השגיאה ידועה למיקרוסופט, אבל זו לא מתכוונת לתקן את הבעיה בגלל פחד מיצירת באג אבטחה נוסף.

 

 

גולשים רבים בישראל ובעולם גולשים באינטרנט בעזרת הדפדפן הסטנדרטי של מערכת ההפעלה חלונות לסוגיה, אינטרנט אקספלורר (IE).

 

בשל בעיות אבטחה רבות בדפדפן של מיקרוסופט, מוציאה האחרונה פאצ'ים (חלקי תוכנה) מעודכנים ומפרסמת באתרה. גולשים רבים המפחדים להיפגע מוירוסים ומסוסים טרויאניים המנצלים את חולשתו של הדפדפן של מיקרוסופט, מעדכנים את תוכנת הדפדפן שלהם ומרגישים כמעט בטוחים, לפחות עד לבאג האבטחה הבא.

 

אחד העדכונים האחרונים של חברת מיקרוסופט טיפל בנושא הבאג של "איזורים" (zones). באג זה מאפשר מעבר מידע מדף אינטרנט שנמצא תחת דומיין א, לקבל מידע מדף אינטרנט שנמצא תחת דומיין ב.

 

לדוגמה, משתמש זדוני שרצה לקרוא את העוגיות של משתמש שגלש באתר וואלה (או נענע או תפוז או ynet כל אתר אחר), יצר דף אצלו ושם אותו ברשת, נניח באתר המאפשר אירוח חינם של אתרים. בתוך הדף שיצר המשתמש הזדוני, הוא כתב סקריפט (קוד תסריט) בשפת ג'אווה סקריפט המשמש לצד שפת HTML בבניית הדף, שאיפשר קריאת עוגיותיו של המשתמש שגלש באתר וואלה.

 

האפשרות לקרוא עוגיות של גולש באתר וואלה על ידי גולש זדוני, התאפשרה על ידי מנגנון ביצוע הקוד בתוכנת הדפדפן. המשמש הזדוני שתל בדף שיצר גם מסגרת (frame) או חלון pop up שפתחו דף כלשהו באתר וואלה, או אתר אחר. פתיחת אותו דף איפשרה למשתמש בקוד הזדוני לקרוא את העוגיות של המשתמש.

 

תהליך זדוני זה נקרא בשפה המקצועית של המתכנתים Cross Site Scripting ובראשי תיבות: CSS, ובעברית "סקריפטים בין אתרים (אזורים)".

 

אבל נא לא להתבלבל. ראשי התיבות CSS משמשות גם את המושג Cascading Style Sheets, בעברית "גיליונות סגנון מדורגים", שהוא מושג בבניית אתרי אינטרנט של השנים האחרונות.

 

בנוסף לשפת HTML הפופולרית לבניית אתרי אינטרנט, הצטרפה לה שיטת עיצוב דפים חדשה שנלקחה מעולם הדפוס וההוצאה לאור. אם בעבר, העיצוב של דפי האינטרנט כלל שימוש בצבעים, רקעים, פונטים, תמונות, טבלאות ועיצובי פסקאות והיה חלק משפת HTML, הרי כיום, מעצבים ובוני אתרים מקצועיים מפרידים בין התוכן לבין העיצוב על ידי שפת CSS שמשתלבת כקובץ נפרד בתוך דף HTML סטטי או דינמי (שנוצר מבסיסי נתונים) המכיל את התוכן ולא את העיצוב.

 

בעזרת שפת הגדרת עיצובי הסגנונות CSS ניתן בקלות יחסית להחליף עיצוב שמוגדר בקובץ נפרד, ללא שינוי של קובץ ה HTML המכיל את התוכן. כך למשל, יוחלפו צבעים ושמות פונטים בקובץ עם הסיומת css, והקובץ עם הסיומת html או נגזרותיו השונות כמו asp, php, jsp ישאר ללא שינוי.

 

 

את חברת מיקרוסופט, השם הזה בלבל. בלבל מאוד.

 

בתיקון של הבאג בדפדפן אינטרנט אקספלורר של מיקרוסופט, תוקן הבאג, וכעת גולש שעדכן את תוכנת הדפדפן שלו, אינו חשוף לבאג שתואר לעיל ואין חשש שגולש זדוני אחר יצליח לקרוא את העוגיות שלו ששייכות לאתר אחר (שנמצא תחת דומיין אחר).

 

לאחר שתוקן הבאג, התגלה על ידי משתמשים באג חדש: כעת, לא ניתן לשמור דפי אינטרנט בחלק מהאתרים בישראל ובעולם. הבאג דווח למיקרוסופט, אבל זו האחרונה האשימה בקבוצות דיון שונות שדנו בבאג את בוני האתרים שלא מאפשרים למשתמשים לשמור את הדפים בשל "בנית האתר בצורה לא נכונה".

 

אם ברשותכם דפדפן אינטרנט אקספלורר שבו קיימים עדכוני התוכנה המסומנים Q321232 ו Q324929, אתם בבעיה: אינכם יכולים לשמור דפי אינטרנט בחלק מהאתרים בישראל ובעולם.

 

על מנת לבדוק האם אצלכם קיימים העדכונים הללו, יש לגשת בתפריט של הדפדפן ל"עזרה" (help), ולבחור בתפריט את השורה התחתונה "אודות" (About). הדפדפן יפתח לכם חלון קטן ובו רשומים גרסת הדפדפן וכן עדכוני התוכנה שלו, המתחילים באות Q.

 

 

 

 

 

אם אחד המספרים לעיל רשום כעדכון תוכנה, אתם בבעיה. חלק מהדפים של אתרי האינטרנט של וואלה למשל, אינכם יכולים לשמור. אם תנסו לשמור דף מדף החדשות או ממדור המחשבים של וואלה, תקבלו את ההודעה הבאה:

 

בעברית:

שגיאה בשמירת דף אינטרנט

לא היתה אפשרות לשמור את דף האינטרנט במיקום הנבחר

 

 

 

ובאנגלית:

Error Saving Web Page

The Web page could not be saved to the selected location

 

 

 

 

מדוע זה קורה?

 

כאשר נבנה דף אינטרנט על פי תפיסתה "הביטחונית" של חברת מיקרוסופט, הרי כל המשאבים של דף האינטרנט (תמונות, סקריפטים, קבצי CSS לעיצוב) נמצאים תחת דומיין אחד. כך למשל, אם אתר וואלה מציג למשתמש דף כלשהו, הרי כל המשאבים שמציג הדף נמצאים תחת הדומיין www.walla.co.il .

 

אם תרצו לשמור דף כזה מוואלה, הדפדפן יבדוק האם המשאבים שנשמרים על הדיסק שלכם מקורם מאותו דומיין שבו נמצא הדף. פעם, לדפדפן של מיקרוסופט לא כל כך היה אכפת מהיכן נשמרו התמונות והסקריפטים. אלו נשמרו על הדיסק לפי פקודת המשתמש.

 

מיקרוסופט לא לקחו בחשבון כי אתרי אינטרנט משתמשים בתת דומיינים על מנת לחלק את האתר למדורים. אתר וואלה, למשל, מחלק בתת דומיינים את האתר שלו:

 

מדור מחשבים:

http://computers.walla.co.il

 

מדור חדשות:

http://news.walla.co.il

 

דף ראשי

http://www.walla.co.il

 

 

החלוקה הזו של תת דומיינים לכל מדור היא חלוקה של התוכן. למעשה, העיצוב וקבצי העיצוב של CSS מגיעים ממקום אחד.

 

כך למשל, מגיע קובץ הגדרות העיצוב של הידיעות במדור החדשות מהקישור הבא:

http://www.walla.co.il/wgcss/0.css

 

העיצוב הישן של וואלה של ידיעות במדור המחשבים, מגיע מהקישור הבא:

http://www.walla.co.il/ss/ie.css

 

כמו שניתן לראות, קובץ הגדרות עיצוב הסגנונות (CSS) נמצא תחת הדומיין המתחיל במילה www בעוד שהתוכן של החדשות מגיע מהדומיין המתחיל במילה news ובמחשבים, התוכן מגיע מדומיין המתחיל במילה computers.

 

ניסיון של המשתמש לשמור דף כלשהו של ידיעה חדשותית או מאמר ממדור מהמחשבים, נדון לכישלון, והודעת שגיאה תופיע ותודיע למשתמש שלא ניתן לשמור את הדף.

 

הנושא הכאוב הזה של חוסר האפשרות לשמור דפי אינטרנט קיים בעוד מספר אתרי חדשות. למשל, באתר נענע שגם בו מחולקים החדשות ומאמרים למדורים עם שמות דומיין מחייבים, לא ניתן לשמור דפים במחשב של המשתמש בדיוק מאותה סיבה.

 

חברת מיקרוסופט, בניסיון לתקן באג ששמו המקצועי הוא CSS כלומר Cross Site Scripting, "תיקנה" בנוסף לכך גם את האפשרות שהגדרות עיצוב הנמצאות בקבצים עם סיומת css ונמצאות תחת דומיינים שונים, לא ישמרו במחשבו של המשתמש בגלל "באג".

 

מיקרוסופט יצרה באג חדש ומטופש שלא קיים בדפדפנים אחרים, ומסרבת לתקן אותו, כך לפחות על פי התשובות שהיא נותנת למשתמשים בקבוצות הדיון השונות (בעיקר בניוזגרופס).

 

מכיוון שחלק מהאתרים מעצבים את האתר על פי איך שהוא נראה בדפדפן של מיקרוסופט ולא על פי התקן הבינלאומי (לדוגמה: אתר גלובס הישראלי), לא תמיד ניתן לשמור דף אינטרנט דרך דפדפן אחר, מכיוון שהוא כלל לא יוצג בצורה נכונה בדפדפן בגלל הגדרות פרטיות שמתאימות רק לדפדפנים של מיקרוסופט.

 

 

ומי אוכל אותה?

 

הגולש הפשוט, ההגון והלא מקצועי שלא מבין מדוע הוא לא מצליח לשמור כתבה מאתר נענע או מאתר וואלה, ועדיין גולש עם דפדפן אינטרנט אקספלורר עברי שניתן לו חינם ביחד עם מערכת ההפעלה שקנה בכסף מלא.