Muito bom!: Porém é preciso cautela agora. Aquela imprensa que antes cultuava o Firefox, agora gosta de fazer manchetes a cada nova falha de segurança que é descoberta, e certamente isso influencia vários usuários a não migrar do IE. Vejam o market-share (http://marketshare.hitslink.com/report.aspx?qprid=3).
A beta 2 do 1.5 é sem dúvida um grande avanço, estou muito satisfeito, exceto pelo funcionamento um tanto falho do plugin flash, que muitas vezes cobre o texto da página e não volta mais. Talvez incluir no download algumas extensões úteis também possa ser um bom marketing. E no Brasil, alguém sabe qual o market-share do Firefox?

O problema não é do Firefox mas de webmasters....: O problema não é do Firefox mas de webmasters que muitas vezes sequer o tem instalado.

Essa semana fui dar uma olhada nos pc's de um amigo que possui uma galeria e o flash funcionava incorretamente no sit dele usando i Firefox.

Pois bem, contei prá ele e quando o "webmaster" ligou disse que instalaria o Firefox no que prontamente ouviu um esporro que deve estar reverberando na cabeça dele até agora.

100 milhões de downloads e ainda há quem simplesmente faça sites para o IE.

Para se livrar dos malditos ad's cobrindo o texto instale a extensão adblock.

Isso sem falar em sistemas bs: Isso sem falar em sistemas bseados em web que usam os famigerados controles Active-X, ou quando inventam de criar um Applet Java, que carrega um sistema inteiro, que só funciona no IExploder.

O problema não é só dos webmasters, pois esses, assim como os desenvolvedores de sistemas tradicionais têm vícios e costumam direcionar seu trabalho para o que for mais fácil e não para o que for correto, como por exemplo suporte aos padrões W3C.

Como resolver isso? Uma educação em Informática para os responsáveis pela área nas esmpresas, ou então uma maior divulgação na imprensa "especializada" das vantagens em seguir padrões reconhecidos pela Indústria, e não somente por uma empresa, por mais que essa empresa detenha mais de 90% do mercado de desktop.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Carlos Wagner - São Luís / MA

hoje também o beta 2 em port: hoje também o beta 2 em português do Thunderbird 1.5:
http://br.mozdev.org/noticias/2005-10-19.html

Rafael, como opção instalei: Rafael, como opção instalei a extensão flashblock, assim escolho qual animação quero carregar.
Abraço,

E cada vez estão mais apelat: E cada vez estão mais apelativas. Recentemente foi veiculado no Slashdot[1] uma notícia dizendo que havia sido encontrado um "DoS exploit" no Firefox 1.0.7. Na verdade não tinha nada além de um crash. Claro, é um bug sério (outras desta natureza estão no bugzilla a serem consertados), mas há uma diferença enorme entre travar o aplicativo e uma brecha de segurança.

--
FLTK fltk.org (Fast Light C++ GUI Toolkit)

Heh: Douglas,

DoS significa Denial of Service. Um "crash" é um DoS. E o fato de até agora não terem encontrado uma forma de fazer execução remota de código não significa que não seja possível.

Quem acompanha listas de segurança deve estar cansado de ver alguém enviar uma notícia sobre um bug, alguém dizer que só é possível utilizar o bug para causar um DoS, todo mundo concordar com isso, e, depois, alguém perceber que é possível utilizar o bug para execução remota de códigos maliciosos.

Explorar um bug desses nem sempre é trivial. Por isso, nunca é possível afirmar com certeza que é "só um DoS".

> DoS significa Denial of Ser: > DoS significa Denial of Service. Um "crash" é um DoS.

Então crash de aplicativo virou sinônimo de DoS? O termo foi usado de forma tendenciosa, com uma abrangência forçada, mesmo porque o navegador é um cliente, não um processo servidor.

A notícia fez alusão à exploração maliciosa por meio do bug ("DoS Exploit"), mas de concreto limitava-se em causar um loop infinito, portanto, FUD contra o Firefox.

> E o fato de até agora não terem encontrado uma forma de fazer execução remota de código não significa que não seja possível.

Isto é tão pertinente quanto dizer que "o fato de até agora não terem encontrado uma vulnerabilidade crítica no browser que formate a máquina não quer dizer que não exista".




--
FLTK fltk.org (Fast Light C++ GUI Toolkit)

Me lembrei agora do sitio cmt: Me lembrei agora do sitio cmt.caixa.gov.br (Conectividade Social) que só funciona em IE e ainda por cima com o Java da Microsoft que nem existe mais e dá um trabalhão para encontra-lo não-oficialmente.
A semana retrasada reclamei do Bradesco pelo sitio oficial que desde que eles implantaram uma chave eletronica (um cartão de papelão com sequencias numericas) não conseguia mais acessar com o FF, levaram 1 semana e 4 dias para resolver o problema (parece que só ontem eles resolveram) e sequer uma nota soltaram de que estavam tendo problemas com outros navegadores ou responderam "desculpe a nossa falha" por email.

Parece que administradores de sistemas web fecham os olhos para problemas que afetam navegadores tidos como alternativos, caçanba no meu Linux, o FF não é alternativo, não existe IE para Linux e talvez se ele existisse talvez o IE fosse o alternativo.

Dica p/webmasters: Uma dica boa para quem se preocupa com a compatibilidade do seu site e desenvolve em ASP ou .Net é o link:

http://aspnet.4guysfromrolla.com/articles/050504-1.aspx

Resumidamente os servidores MS têm a capacidade de servir páginas diferentes de acordo com a identificação do Browser. Quando ele detecta que é um browser mais antigo ele manda as páginas em padrões mais antigos, como HTML 3.2, e portanto mais compatíveis, mas que no entanto podem causar problemas de exibição da página.
O problema é que ele faz a mesma coisa quando é um Browser desconhecido, e por algum motivo "obscuro" :-) a configuração padrão desses servidores desconhece qualquer browser mais recente que não seja o IE. O resultado é que para o usuário o IE exibe uma determinada página direitinho, e o Firefox a exibe com vários "defeitos" de estilo. A impressão que fica é que os defeitos foram causados por bugs do FF.
A boa notícia é que é fácil mudar essa configuração, tanto para ASP quanto para .Net, usando os arquivos do site:


http://slingfive.com/pages/code/browserCaps/

Pode não resolver todos os problemas, mas é uma maneira fácil de resolver alguns :-)

Dois problemas nao resolvidos: 1- a lista de endereços é estática, nunca muda, o primeiro URL que vc entra fica sendo sempre o último na **barra de endereços*** (lugar onde vc entra o nome do site ex: "www.brasil.com.br"
2- usa muita memória. O IE usa menos memória RAM.

Tirando isso acho muito bom, incluvise é meu browser favorito.

Para este caso do flash que n: Para este caso do flash que não fecha mais, a extensão flashblock me parece ser a melhor opção,bloqueia todos os flashs,más com um clique se pode abrir os flashs que se queira ver...

Números inflados: Os números deveriam ser separados por versão do FF. Senão vira propaganda enganosa, afinal sempre saem versões novas, e a maioria que possui vai atualizar.

Ninguém vai pedira pra Mozil: Ninguém vai pedira pra Mozilla Foundation mostrar como conta não?

Engraçado... fizeram tanta questão na do Debian-BR-CDD.


Vinícius Medina
Usuário Linux 383765
É usuário de Linux? Mostre a sua cara!

Certamente: Provavelmente alguém pediria aqui se o pessoal da Mozilla Foundation lesse o br-linux. Mas não acho que eles falem português. =)
--
LinuxFUD, o TIRA-TEIMA dos ataques ao software livre: http://linuxfud.org

O IE usa as bibliotecas do Wi: O IE usa as bibliotecas do Windows carregadas na inicialização do sistema. Fica impossível "usar" menos memória do que qualquer browser integrado ao S.O.

ah ?: Dos == negação de serviço == não poder usar o serviço

seja ele servidor ou cliente, é sim um DoS, que por sua vez é sim um tipo de exploração, que por sua vez é sim uma falha, que por sua vez é um problema

que mania de defender e perder a racionalidade

Não: Pelo menos não é o sentido típico ou esperado pra se usar esse conceito. Um DoS está associado, na Wikipedia, a um ataque remoto, ou pelo menos algo que interrompa realmente o processamento ou os serviços de um programa. Em um sistema multiusuário, por exemplo, só chamamos de DoS algo que interrompe a atividade de algum processo diferente ou de outros usuários. Há uma diferença muito grande de gravidade e impacto no crash solitário de uma aplicação de desktop e na negação de serviço de um servidor ou da área de outros usuários.
--
LinuxFUD, o TIRA-TEIMA dos ataques ao software livre: http://linuxfud.org

Essa coisa da página ser dif: Essa coisa da página ser diferente para cada tipo de navegador é muito antigo. Inúmeros servidores de http fazem isso e dá até para fazer com javascript ou php. Não entendi a propaganda para o servidor da MS no caso.
Fora que o problema não é mostrar uma página diferente para cada navegador, o problema é que os desenvolvedores de página não estão nem aí para os outros navegadores. Fazer uma página que rode na maioria dos navegadores é relativamente fácil, o difícil é achar vontade dos caras para isso.
O que a gente tem que fazer é insistir em usar os "navegadores alternativos" para que aumentem as estatísticas deles e o ie comece a ser um alternativo também. heheheh

Usa muita memória?? Como?? S: Usa muita memória?? Como?? Só o download da atualização do ie 6 é 25 mb. O download do firefox para windows é apenas 4,7 mb.
Cuidado com essas "estatísticas" de memória porque elas sempre tem vários poréns, tipo, não contar algumas bibliotecas que o ie usa, mas que são contadas no caso do firefox.
Igual as estatísticas de mémoria que fazem no linux (cat /proc/????/status). Elas tem o porém que está contando toda a memória que o programa usa, inclusive as bibliotecas que são compartilhadas por TODOS os programas, inchando a memória "utilizada" pelo programa. Tente somar toda memória que essas estatísticas mostram. Não duvido chegar a uns 2 GB ou mais em uma máquina de 256 MB ou 512MB, incluindo o swap.

Felizmente, segundo esta not: Felizmente, segundo esta notícia veiculada aqui no br-linux, parece que haverá como determinar com precisão o consumo real de memória dos processos.

--
FLTK fltk.org (Fast Light C++ GUI Toolkit)

Que venha a versão 1.5: Vamos esperar que o seu lançamento tenha o mesmo impacto da versão 1.0. Agora o que é chato é vc ver um site como http://informationweek.com/ repassar uma notícia que o Firefox teve duas "escorregadas" em 3 meses, sobre seu market-share. Não fazem menção de que nesse período teve tb o lançamento do Netscape, que se identificava como FF, o que só foi corrigido posteriormente (o que tb explica em parte esse deslize do FF. Achava que esse tipo de esquecimento inocente fosse só aqui no Brasil, mas acontece lá fora tb, com bastante frequência até.

Não é questão de segurança?: Até onde eu saiba, não aparecer subendereços na barra é por razões de segurança. Em alguns sites, muitas informações valiosas poderiam ser vistas no novo endereço por causa do atributo Get dos formulários (não sei se tem algum outro caso).

Questão de Interesse: Quando interessa a alguém, dá-se um jeito de ler até Sânscrito, Esperanto, Latim...

Mas..: ... fundamentalmente é uma negação de serviço.

Causa menos impacto que um servidor ? com certeza
É mais fácil de se resolver? com certeza - fecha o browser, abre outro

Agora o ponto é que causa a aplicação (uma thread do kernel, o apache, o firefox) congelar e consumir 99% da cpu.

O serviço que browser oferece, aonde o cliente é humano, diferente de um apache que serve outros clients, foi negado.

Deny Of Service.

Adora os Mozilas mas ...: Cara esse thunderbird já me deu muito problema! Instalei ele no notebook da minha mãe, e os problemas com virus acabaram, mas em compensação as vezes ele pira na batatinha e mesmo sem mesnagens novas ele fica lerdo na inicialização( 15 minutos para poder ler as mensagens velhas) e quando fica pronto apresenta umas 1000 mensagens não lidas.

É falta de cultura: Infelizmente, muito infelizmente, no Brasil a maioria esmagadora dos desenvolvedores de site não se importam em usar os padrões da W3C. Então, sites mal feitos aparecem a torto e direito. Vide o site da webmotors, que não funciona de jeito nenhum em outro browser que não seja IE (Os e-mails que mandei para eles podem ser vistos no meu Blog. Contrariando a webmotors que me disse que não tinha uma solução imediata, em 10 minutos eu consertei a página e a fiz funcionar em qualquer browser. As vezes me parece que não é falta de conhecimento e sim incompetência aliada a falta de vontade.

Vida longa ao Firefox. Se os usuários de firefox reclamassem mais, o mundo (pelo menos na internet) seria um pouco melhor.

> Agora o ponto é que causa: > Agora o ponto é que causa a aplicação (uma thread do kernel, o apache, o firefox) congelar e consumir 99% da cpu.

Estritamente falando não ocorreu nenhuma "negação de serviço", limitou-se à provocação do loop infinito, consumindo recursos de CPU essencialmente *livres*. Nenhum outro aplicativo deixou de executar (embora certamente sofreram impacto no desempenho), notoriamente porque a prioridade de execução do navegador não foi escalada. Tente você mesmo, abra um terminal e faça também um "DoS Exploit" na sua máquina: $ while true; do true; done

Se o bug causasse uma espécie de 'renice -20' (difícil, pois requer privilégio de administrador) e entrasse em seguida em loop, fazendo literalmente com que todos os outros processos parassem, eu poderia concordar com a classificação DoS.

Diante dessa forçação de abrangência do termo DoS, fica evidente a intenção dolosa de causar terrorismo acerca do problema encontrado. Sensacionalismo, FUD.

> O serviço que browser oferece, aonde o cliente é humano, diferente de um apache que serve outros clients, foi negado.

Não, neste contexto o cliente não é o usuário, mas sim o navegador. É cliente porque se comunica com servidores e retorna com informações. Na sua terminologia, qualquer aplicativo (até um simples 'echo') seria "servidor" diante do usuário, claro, pois em última instância "serve" alguma coisa --a definição ficou tão genérica que perdeu o sentido.


--
FLTK fltk.org (Fast Light C++ GUI Toolkit)

Beta: Então porque está usando uma versão beta ? Eu acho muito mais provável ser problema no Ruindows dela, porque eu uso o Thunderbird (estável) no linux há muito tempo, tenho mais de 3 GB de emails armazenados e nunca vi isso.

só uma coisa.. eu não consi: só uma coisa.. eu não considero Firefox um navegador alternativo.
isso deixa o Ie parecer padrão.

heh: tenho uma conhecida que usa firefox e outro dia teve que entrar em um site produzido com ASP.NET. Aparecia aquela carinha típica de erro no servidor, mas quando dei uma segunda olhada, percebi que na verdade o erro foi causado por que um daqueles controles "validadores" não estava funcionando no cliente.

Vc e eu sabemos muito bem o pq: esses controles ASP.NET usam API javascript padrão IE. não há nada que a impeça de usar uma API padrão W3C, exceto a insistência da M$ para que pessoas continuem amarradas às suas tecnologias...

;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")

Recursos: >consumindo recursos de CPU essencialmente *livres*

Como isso? A cpu não fica livre em nenhum momento. A diferença está no número de processos querendo a utilizar e em qual *frequência*. Aliás, exaurir um recurso (seja ele cpu ou i/o) é exatamente a causa de uma negação de serviço.

Utilizar 99% da CPU é um caso típico de uso de recursos que ultrapassa o limite de utilização normal (espera-se) de um aplicativo.

Certamente que causa menos impacto que se fosse um serviço mais crítico, como a pilha tcp/ip, aonde diversos processos seriam afetados e o impacto seria maior.

Mas mesmo assim, demandandar mais recursos é ficar gritando 'eu quero! eu quero!' pro scheduler e ser o 'fominha' da fila. Isso causa sim um impacto, independente se a prioridade dele for muito alta.

Seria a mesma coisa que vc abrir o openoffice ou algum outro aplicativo pesado. Quando ele começa a ser carregado, existe uma utilização alta da cpu e os outros aplicativos sofrem e tem que dividir os recursos com o fominha que está chegando até o momento que o fominha se estabiliza.

Um bug que força o aplicativo e ficar num loop infinito , demandando 99% de cpu é sim uma forma de negação de serviço.

Impacto: Isso causa sim um impacto

De segurança?

O grande bafafá aqui é que esse "DoS" (que eu, como o Douglas, não concordo que seja DoS pois o termo se torna genérico demais e fica inútil) foi alardeado como um problema de segurança.
--
LinuxFUD, o TIRA-TEIMA dos ataques ao software livre: http://linuxfud.org

Ok, pro's que gostam de núme: Ok, pro's que gostam de números, um bom site francês para ver estatísticas - apontava na América Latina o FF com 5,23, em julho (http://www.xitimonitor.com/etudes/equipement10.asp)

Jose Roberto, também notei a: Jose Roberto, também notei algo semelhante com o site de esportes Placar, mandei email para eles, que me responderam que iriam resolver o problema. Estou esperando até hoje! Agora me responde: a opção de reportar sites que não funcionam, vale para sites em português, como é que rola esse negócio?

O negócio rola assim: Na página do mozilla.org.br você encontra o link para o ReclamaSite.
--
LinuxFUD, o TIRA-TEIMA dos ataques ao software livre: http://linuxfud.org

Reclame: É impressionante como existem sites que insistem em não respeitar os padrões. Vejam esse, por exemplo, que tem nada menos que 314 erros, ou esse outro, com 17 erros.

Felizmente, existem outros sites que dão bons exemplos, com páginas que seguem os padrões.

Obs.: essa mensagem não é tentativa de trollar.

CMS: Deixa de ser implicante ! O br-linux e o linuxfud usam CMS prontos e realmente a maioria deles ainda não passa 100% no validator do w3c.

O site da M$ deve ser feito do zero, por uma equipe grande e muito bem paga para isso, que muito provavelmente não usou nenhuma das ferramentas web da própria empresa, que costumam gerar páginas html totalmente fora do padrão e IE-only.

Mentira: O br-linux e o linuxfud usam CMS prontos e realmente a maioria deles ainda não passa 100% no validator do w3c.

Embora os dois usem CMS "prontos", eles só usam a engine do CMS. Aliás, acho que o linuxfud nem isso usa. Eu acho que ele foi feito do zero.

De qualquer forma, o estilo da página, o código HTML, isso não veio com o CMS. Foi feito pelo Augusto/Patola. A cara, e o HTML, do br-linux não vieram prontos com o Drupal, e é isso que está sendo validado, não o código PHP por trás do site. (esse sim veio com o CMS)

Agora, se os próprios sites sobre Software Livre não respeitam os padrões, como que nós vamos poder pedir que outros sites os respeitem? Quem é que define qual site tem que respeitar os padrões, e qual está liberado dessa obrigação? Você?

Em tese, Software Livre não: Em tese, Software Livre não tem nada a ver com os padrões definidos pelo W3C. Acontece que, *em geral*, partidários do SL estão mais envolvidos com a questão da padronização e espeficicações abertas, sobretudo no que tange a web.

Isto não quer dizer que se alguns sites relacionados com o Software Livre não adotam por completo as especificações W3C, então este deixe de ser válido. A existência do W3C independe do aval dos pró-SL; se os defensores do SL não seguem o W3C, implica que estão em algum grau fora deste padrão, ponto.

--
FLTK fltk.org (Fast Light C++ GUI Toolkit)

LinuxFUD + w3c: Realmente, eu sei que existe alguma não-conformidade com o w3c no linuxfud. Isso acontece, principalmente, porque sou desenvolvedor e não sou um bom designer. Não sei bem javascript e não estudei suficientemente os padrões.

Eu até agradeço pela crítica, embora tenha sido provocação. Fazia tempo que eu não via esse aspecto do sítio. Todo o meu código foi feito tentando renderizar XHTML estrito, com tags corretas. Uma parte do tema, especialmente a parte de posicionamento, é a que deve estar mais incorreta. Procurei alguma ajuda de gente que entendia bem e obtive alguma em alguns pontos, mas pra outras eu tive que "marretar" pra funcionar bem.

Testei nos navegadores a que tinha acesso - Mozilla, Firefox, Konqueror e IE de vez em quando. Me preocupei mais em fazer funcionar em vários. Algumas vezes usei o PearPC pra testar no IE/Mac e no Safari.

Se você souber como eu mudo pra ficar bom e em conformidade, estou aberto a sugestões.

Vale lembrar que em minhas opiniões professadas sobre o W3C, eu geralmente sigo esta idéia, de ser prático e não totalmente estrito. Não sou um dos "radicais do w3c" e já contestei uma parte desta idéia.
--
LinuxFUD, o TIRA-TEIMA dos ataques ao software livre: http://linuxfud.org

Respondendo ao Douglas e ao Patola: Softwre livre não tem nenhuma ligação com W3C. Acontece que os usuários de softwre livre adoram reclamar de sites que não aderem aos padrões. Criam listas negras, sites de reclamação, mandam emails de protesto, criam abaixo-assinados, etc. Então, é razoável esperar que esse grupo, que tanto reclama, pelo menos faça o seu dever de casa, e produza sites compatíveis com os padrões.

Mas, veja só: até um site oficial do projeto Mozilla possuí erros de validação. Esse sim, é diretamente ligado ao padrão W3C.

Já o Patola, diz: Vale lembrar que em minhas opiniões professadas sobre o W3C, eu geralmente sigo esta idéia, de ser prático e não totalmente estrito.

O que ele quer dizer, em linhas gerais é: "não importa que o xhtml não esteja perfeito. O que importa é que funciona em todos os browsers".

Funciona em todos, que ele testou. Funciona no dillo? No lynx? No links? Se eu escrever um programa que use um parser de xml para parsear esse código, ele vai conseguir ler o código sem erros? Se eu quiser escrever um browser, e seguir o padrão estritamente, o meu browser vai conseguir ler esse arquivo? Não.

Muita gente culpa a Microsoft pelos HTMLS inválidos que não funcionam no Mozilla. Mas, parem para pensar:

Quando a MS entrou no mercado de browsers, esse era completamente dominado pela Netscape, O Navigator, browser da Netscape, nunca foi muito rigoroso com HTML. Em geral, ele ignorava o padrão. Qualquer coisa que você escrevesse, ele lia. Na prática, ele acabou criando um padrão alternativo, muito mais abrangente do que o HTML original. Existiu, inclusive, um movimento chamado notscape para combater esse ataque que o Netscape fazia ao HTML.

Aí, o Bill Gates se arependeu de dizer que Internet era brincadeira de criança, e resolver criar um browser que seria o principal componente do S.O.. Esse browser, é claro, teria que ler todos os HTMLs que estavam na Internet, inclusive aqueles completamente quebrados, que só existiam por que o Netscape ignorava o padrão, e aceitava qualquer coisa. Como o Netscape aceitava qualquer coisa, um monte de Patolas devem ter pensado: "esse HTML que eu estou escrevendo não adere perfeitamente ao padrão... mas e daí? Vamos ser prático: o netscape lê".

Como existia um monte de códigos práticos, mas inválidos, escritos por um monte de Patolas pré-1997, quando a MS quis fazer seu browser, ela não poderia seguir o padrão completamente, senão o browser dela não seria capaz de ler nem 10% da World Wide Web, contaminada por códigos práticos. Com isso, o IE também teve que ser extremamente relapso. Qualquer coisa que tivesse cara de HTML ele teria que ler. É claro que seria impossível criar um browser que imitasse exatamente o padrão Netscape, então os pontos em que o IE diferia do padrão eram diferentes dos pontos em que o Netscape o fazia.

Eventualmente, o IE roubou o mercado da Netscape, e, como a MS foi obrigada a fazer um browser que lesse qualquer lixo, a inércia dos desenvolvedores Web fez com que os lixos continuassem a ser produzidos. E o browser não poderia, de uma hora para outra, passar a interpretar o padrão a risca, senão milhões de páginas ficariam ilegíveis.

Resumindo uma longa história: como o Netscape Navigator lia qualquer lixo, e um monte de Patolas escrevia códigos que eram inválidos, mas eram práticos, já que o Netscape lia, uma série de eventos aconteçou que culminou com uma Web completamente inválida, em que você conta nos dedos os sites válidos. E alguns desses sites inválidos são exatamente os sites que não conseguimos abrir no Mozilla. (além dos sites com ActiveX, ou outros plugins Windows-only)

Então, da próxima vez que alguém justificar um site fora do padrão com essa história de "é quebrado, mas funciona em todos os browsers que eu testei", lembre-se de que esse mesmíssimo motivo transformou a Web no zoológico que vemos hoje.


Se você souber como eu mudo pra ficar bom e em conformidade, estou aberto a sugestões.

Se você estiver disposto a pagar, eu posso fazer o serviço. Agora, se você não quiser pagar, veja o link que eu mandei, com o resultado do validador, e veja quais são os erros. Não é tão difícil consertar.

Não: Não é de segurança. É de negação de serviço. Se fosse de segurança, teriam falado que era de segurança, e não de negação de serviço.

Imagina: você está lendo uma página na Web, em qual você não pode dar reload. O resultado de um FORM, por exemplo. Suponha também que você não possa enviar o FORM novamente, como uma compra com CC, por exemplo. Aí a página com o resultado está aberta em uma Tab do seu Firefox, e você deixa ela lá, para depois copiar o resultado do form para um lugar seguro.

Aí, você clica em um link, em outra Tab, que tente abrir o link cheio de hifens, sobre o qual esse problema se refere, e o browser é fechado. Você perde os dados do Firefox que estava rodando, e nunca mais vai recupera-los.

Isso é uma negação de serviço, no lado do cliente, que não é igual a negação de serviço do lado do servidor, mas também é negação de serviço.

Aliás, veja qual era o título do email enviado pela equipe de segurança do Debian, falando sobre esse bug: New Mozilla Firefox packages fix denial of service.

Será que o Debian também está fazendo FUD? Ou será que eles também não sabem o que significa DoS? Mande um email explicando... eles precisam.

Respondido: Respondi aí em cima.

Não funciona bem assim: Ananias, obrigado pela resposta. Resumindo o que quero dizer, a coisa funciona mais ou menos assim:

• O pessoal de Software Livre reclama mais de padrões porque a interoperabilidade é mais valiosa nesse ambiente e porque os próprios softwares livres dependem mais de padrões para poderem ser escritos.


• O w3c, em especial, não garante conformidade dos navegadores. Garantiria, se todos os navegadores seguissem seu padrão. Mas o IE em especial quebra com muitos deles. Eu tive que fazer muitos ajustes fora desses mesmos padrões para funcionar no IE.


• O que eu faço é trabalho voluntário. É o meu dinheiro que paga o servidor e o domínio. Pago o suficiente, já, para ajudar outros, e infelizmente meu trabalho me consome tempo, especialmente nesse momento, em que chego muito tarde da noite em casa. Não tenho condições de pagar a você para essa consultoria.


• Agora que você pôs uma certa prioridade nesse tópico da conformação, que seria uma das muitas coisas que eu poderia fazer no sítio se tivesse mais tempo, vou priorizar isso. Não é sempre que tenho esse tipo de feedback. Se é importante para ti, eu agradeço me falar isso.


• O dillo, arachne, lynx e outros não têm condições de rodar a parte de javascript do sítio, mas funcionam sem ele. E também não são especialmente aderentes aos padrões w3c. Então falar do w3c como se fosse fazê-los funcionar é, se me permite o termo, uma falácia. ;)


• Se eu colocar nos padrões do w3c e acontecer como aconteceu antes - parar de funcionar no IE, Mozilla ou qualquer outro que eu testar ou que me passarem -, sou obrigado a voltar os "erros". O sítio é feito para o público e não tem sentido alijá-los dele em função de padrões que não ofereçam interoperabilidade atual.


• Update: você reclamou da minha "praticidade", mas vale ressaltar que ela é uma praticidade inclusiva. A praticidade da Microsoft foi fazer funcionar para ela, minha praticidade é voltada a "na prática" fazer funcionar para todos em detrimento de seguir estritamente os padrões do W3C.


• Update 2: Assim como você, acho a estratégia inicial do Netscape de ficar fora dos padrões propostos bem errada, estratégia essa que pouco a pouco vem sendo revertida pelo Mozilla. Mas assim como é importante deixar as coisas funcionando, o navegador tem que usar a incômoda decisão de projeto de ser compatível com os erros do passado.


• Update 3: por boboca que possa parecer, sou sensível às suas reclamações e as acho justas, e durante a construção do linuxfud procurei, sim, aderir aos padrões e ter o sítio funcionando em todos os navegadores ao mesmo tempo. Mas eu tive que tomar uma decisão: ou fazia o sítio nos padrões, mas o reservava para umas poucas pessoas com navegadores obscuros (visto que até o Mozilla engasgava em algumas coisas), perdendo a efetividade, ou fazia um sítio funcional e que funcionasse em todos, mas saísse um pouco - UM POUCO - dos padrões.

--
LinuxFUD, o TIRA-TEIMA dos ataques ao software livre: http://linuxfud.org

Aliás...: ... veja como o CVE descreveu o bug: Buffer overflow in the International Domain Name (IDN) support in Mozilla Firefox 1.0.6 and earlier, and Netscape 8.0.3.3 and 7.2, allows remote attackers to cause a denial of service (crash) and possibly execute arbitrary code via a hostname with all "soft" hyphens (character 0xAD), which is not properly handled by the NormalizeIDN call in nsStandardURL::BuildNormalizedSpec.

Notou um "denial of service (crash)" aí no meio? Notou que, como eu disse, um bug desse tipo sempre vai ser classificado como "possibly execute arbitrary code"? (não, não é como a sua vulnerabilidade que formate a máquina. É MUITO comum em bugs desses tipo existir uma forma de executar código malicioso remotamente, e que isso passe despercebido. É comum, e já aconteceu diversas vezes)

Aproveite e mande uma mensagem para o CVE, que até onde eu saiba é a autoridade - embora não oficial - sobre bugs, explicando que o conceito deles de Denial Of Service está errado, e mande o link da Wikipedia para comprovar sua argumentação. Quem sabe eles mudam...

Ou então...: ... coloque o Debian e o CVE no linuxfud, como produtores de FUD contra o Firefox. Hehehe.

Aliás, coloque o próprio projeto Mozilla no LinuxFUD, já que aqui eles disseram: This overrun could be exploited to run or install malware on a user's computer. Explique, como o Douglas explicou, que o Mozilla está forçando a barra, fazendo FUD, e, que esse tipo de afirmação é tão pertinente quanto dizer que "o fato de até agora não terem encontrado uma vulnerabilidade crítica no browser que formate a máquina não quer dizer que não exista.

Idem: --
LinuxFUD, o TIRA-TEIMA dos ataques ao software livre: http://linuxfud.org

Seleção de fatos. O time do: Seleção de fatos. O time do Debian classificou como DoS, mas em algum momento a equipe Mozilla[1,2] se referiu ao bug como "Denial of Service", apenas como "crash".

E, claro, está usando o termo no grau de abrangência que o significado se perde. A definição pretendida para "Denial of Service" está se aproximando da definição de "coisa", "fulano", etc.

Por falar nisso, esses dias ao testar o Deer Park Beta tive alguns DoS arbitrários ao clicar em "Save Link As...". =)

1. http://www.mozilla.org/security/announce/mfsa2005-57.html
2. https://bugzilla.mozilla.org/show_bug.cgi?id=307259

--
FLTK fltk.org (Fast Light C++ GUI Toolkit)

Hein?!? Mozilla forçando a b: Hein?!? Mozilla forçando a barra? Os bugs não são os mesmos, embora você propositalmente tenha deixado no ar esta sensação. Sobre o bug noticiado no Slashdot, o qual me referi, nada foi confirmado além do crash.

Mas, claro, ainda podem descobrir que de repente ele formate a máquina do usuário, causando, como sempre, um DoS (negação de serviço de acesso aos arquivos).

--
FLTK fltk.org (Fast Light C++ GUI Toolkit)

Ok, retornemos à notícia original: Vamos ler lá na notícia original?

Fala-se de DoS exploit. Exploit não é "segurança"? Exploit significa explorar no sentido negativo do termo. Ok, então o sujeito pode ir na máquina de alguém que está rodando o Firefox e colocar uma URL mal-formada pra fazer o navegador dar pau... Dã! Não seria mais fácil fechar a aplicação ou matar o processo? Grandes coisas.

Ok, dá pra imaginar um cenário mais apelativo. Um cracker profissional pega uma URL mal-formada e tem a senha do IM de um amigo de um funcionário de um grande banco. Ele se passa por esse amigo para o funcionário e diz pra ele acessar esse endereço no seu firefox, no momento em que o funcionário está fazendo uma operação importante no banco. Ele consegue fazer o firefox do funcionário do banco capotar, e usa uma técnica de cookie hijacking que faz com que ele possa recuperar em seu navegador a sessão do funcionário do banco e fazer transferência de dez milhões de dólares para sua conta.

Felizmente o cenário é tão apelativo que antes de ele fazer a transferência crucial, o Tom Cruise aparecerá pela janela montado em um golfinho treinado e atirará um micromíssil teleguiado que explodirá a mão do cracker. E a cena fará parte do trailer de "Missão Impossível 4".
--
LinuxFUD, o TIRA-TEIMA dos ataques ao software livre: http://linuxfud.org

Template: É claro que depende dos templates que eles estão usando e não sei se eles também estão usando algum template padrão feito por alguém, mas de qualquer forma muitas vezes os problemas com o w3c são gerados pelo código de módulos do CMS que são instalados, e que nem sempre seguem os padrões.

Isso já aconteceu comigo quando fiz uma página usando o Mambo. A página validava no w3c mas bastava instalar alguns módulos extras (e importantes para o que eu queria) feitos por terceiros para "sujar" o html. No final era muito difícil ficar 100% no padrão, a menos que não usasse o CMS.

É difícil...: Douglas,

eu te enviei um link do CVE - autoridade sobre bugs e problemas de segurança - mostrando que o Slashdot não exagerou. Pode-se usar o termo DoS para crash de um aplicativo cliente, e isso não é o termo no grau de abrangência que o significado se perde. É a definição. Uma palavra/expressão pode ter mais do que um significado. É assim que as coisas funcionam.

Além disso, mandei um link do announcement do time de segurança do Debian, que classifica o problema como DoS, assim como é feito com qualquer crash de aplicativo cliente. Veja outro exemplo.

Se a autoridade dos bugs diz, e mesmo assim você não acredita, não temos uma simples diferença de opiniões, e sim um sintoma de falta de capacidade de interpretar textos simples.

Fácil: Imagine que eu conheça uma forma de inserir código javascript nesse meu comentário, aqui no Drupal. (como já foi descoberto na imensa maioria dos CMSs)

Eu poderia colocar um código que redirecionasse todos os usuários para a página que faz o browser travar. Não é difícil. Já foi feito. Continua sendo feito. E provavelmente continuará sendo feito para sempre.