<div dir="ltr">On Tue, Sep 30, 2008 at 11:14 AM, Michal Zalewski <span dir="ltr"><lcamtuf@dione.cc></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="Ih2E3d">On Tue, 30 Sep 2008, Robert O'Callahan wrote:<br>
<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
We can easily offer these developers the following options:<br>
a) developers of privileged gadgets can whitelist domains that they trust to<br>
not subvert the UI<br>
</blockquote>
<br></div>
How is this achieved? If I have a chat ("talk to site owner using your $foo chat account")</blockquote><div><br>If the chat gadget is configured to only talk to the site owner, how can it be abused? I suppose the site owner can discover the chat nick of a visitor who otherwise wouldn't want to disclose it. That's a risk that the chat system developers might very well be willing to accept.<br>
<br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">or calendar overlay ("see scheduled events overlaid on your calendar") gadget that is to be embedded freely by third-parties,</blockquote>
<div><br>If it's read-only, again, what's the risk? The user might want to interact with the IFRAME to scroll and search, but even if those are spoofed, there's no way for the container to abuse this, as far as I can tell.<br>
<br>I understand there are more interesting examples, but these ones don't seem to make your case.<br> <br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="Ih2E3d"><br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
c) spawn new windows/tabs to perform or confirm privileged operations<br>
</blockquote>
<br></div>
That's a terrible user experience, by most accounts, and goes against the concept of a gadget; I believe it is often avoided at all costs except when absolutely necessary (e.g., login, where the user needs the opportunity to verify URL, SSL status, etc).<br>

</blockquote><div> </div></div>Maybe we can make it a better user experience, for example, by allowing the new window/tab to appear as a new pane at the top or bottom of the existing tab. That would nicely handle your chat example, IMHO.<br>
<br clear="all">Rob<br>-- <br>"He was pierced for our transgressions, he was crushed for our iniquities; the punishment that brought us peace was upon him, and by his wounds we are healed. We all, like sheep, have gone astray, each of us has turned to his own way; and the LORD has laid on him the iniquity of us all." [Isaiah 53:5-6]<br>

</div>