<div class="gmail_quote">On Thu, Nov 6, 2008 at 5:50 PM, Ian Hickson <span dir="ltr"><ian@hixie.ch></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="Ih2E3d">On Thu, 6 Nov 2008, Eduard Pascual wrote:<br>
><br>
> I agree with Samuel in that this is an issue. In Catalunya, most often<br>
> Spanish software is used (both OS and browsers), because a lot of the<br>
> software is not easily (or at all) available in Catalan (specially<br>
> Microsoft software, such as Windows and IE, which ammount for a quite<br>
> big fraction of web surfers). Seeing Spanish stuff in pages that are<br>
> supposed to be in Catalan is quite annoying (especially when keeping in<br>
> mind some historic factors).<br>
><br>
> I can understand that there may be some security concerns with this<br>
> control; but I don't think changing the "Browse" caption poses any<br>
> threat. But if there is so much paranoia on this, browsers could be<br>
> allowed (or even required) to ask for confirmation when picking a file<br>
> if the caption has been changed (something like "Are you sure you would<br>
> like to submit C:\example.txt to <a href="http://example.com" target="_blank">example.com</a>?" should be enough, and<br>
</div>> users would easily see such question as coming from the UA rather than<br>
> from the webpage).<br>
<br>
It has been shown that prompts are ignored by users, so that wouldn't<br>
really solve the problem.<br>
<div class="Ih2E3d"><br>
<br>
On Thu, 6 Nov 2008, Samuel Santos wrote:<br>
><br>
> If changing the button text can be a security issue (e.g. induce the<br>
> user to an action that he's not aware of), we can come up with some<br>
> solutions.<br>
><br>
</div><div class="Ih2E3d">> What about allowing the Author to change the control's locale? By doing<br>
> so, the UA can then render the button with the same locale as the<br>
> application without compromising the security.<br>
<br>
</div>It seems like browsers should do this already based on the lang=""<br>
attribute. I recommend asking browser vendors to implement this.</blockquote><div><br></div><div><span class="Apple-style-span" style="border-collapse: collapse; ">@lang will definitively fix the problem if browsers are willing to implement it.</span><br>
</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><br>
<div class="Ih2E3d"><br>
<br>
On Thu, 6 Nov 2008, Eduard Pascual wrote:<br>
><br>
> I was going to suggest this, but I don't think it's really doable:<br>
> browsers would need to include all the translations of that caption in<br>
> all their versions. In the specific case of IE, considering that<br>
> Microsoft tends to license only single-language versions of its products<br>
> (if you want it in two languages, you need to pay twice), I'm afraid<br>
> this would be an issue (despite the fact that IE is actually distributed<br>
> for free, it would still mess with their "packaging").<br>
<br>
</div>It's true that this may not be something browsers want to implement.<br>
<font color="#888888"><br>
--<br>
</font><div><div></div><div class="Wj3C7c">Ian Hickson               U+1047E                )\._.,--....,'``.    fL<br>
<a href="http://ln.hixie.ch/" target="_blank">http://ln.hixie.ch/</a>       U+263A                /,   _.. \   _\  ;`._ ,.<br>
Things that are impossible just take longer.   `._.-(,_..'--(,_..'`-.;.'<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Samuel Santos<br><a href="http://www.samaxes.com/">http://www.samaxes.com/</a><br>