Alcides Fonseca

This is, when you use cool stuff like AJAX, that empowers your website, you should take into consideration all the problems that it might cause, specially cross-site scripting.

I’ve been subscribing an interesting blog on security, GNUCitizen. I really enjoyed the Pownce Exploit they did, and shows that you might not be secure in all those websites you visit.

Oh, and you should really take a look at their introductory presentation on client side security.

One of AJAX developers’ first stresses was cross-side scripting. With all these data APIs that are available in XML or JSON, one could easily fetch it with a XMLHttpRequest and parse it right on the client. There are a few hacks around this, being the simpliest a “small proxy script” in the same server your application. Other solution used by many websites that isn’t as simple, but easier to distribute is including code with the script tag since it allows code from other domains. So this is a demanded features.

According to W3C Access Control working draft, Firefox 3 now supports cross-site XMLHttpRequests. You can set a resource to be accessible for all other domains, or specify the ones allowed through the HEADER or the XML way.

I believe now the code will be more equaly distributed between the client and server. Browsers that support Javascript should run in computers with some processing capabilities (even iPhones, Android, WM and even normal phones that will be supporting javascript in a few years) and I can even see some Javascript-only applications using CouchDB as a database (with read-only privileges for external connections).

Only waiting for Microformat support to come out :) And by the way, FF3 is already my main browser in the mac!

Bruno Figueiredo da APPU apresentou-nos o tema Usabilidade em RIAs de uma forma bastante interessante: Em vez de falar da teoria como já vi muitos fazer, em quase tudo o que falou, mostrava um pequeno screencast com um exemplo do mundo real, tanto bons como errados. Assim foi fácil para o público entender perfeitamente o que ele queria mostrar e ainda criar uma opinião dos websites em causa, e aprender com os seus erros ou qualidades.

Como webdesigner/developer, tomei notas de algumas das regras que achei fundamentais implementar:

• Fazer interfaces tanto para utilizadores iniciados como avançados, por exemplo usar teclas de atalho (ctrl+B) ou então ter um botão ou menu para o efeito (Botão para bold)


• Dar sempre ao utilizador feedback das acções que toma. É um caso frequente quando se usa AJAX, não dar resposta visível ao utilizador tanto de sucesso, como do erro. Já me aconteceu enviar informação num pedido AJAX e pensar que está no servidor, mas afinal deu um erro 500.


• Adicionar opção de undo. Quantas vezes numa aplicação web não desejaram retroceder a última acção?


• Seguir padrões. Se os utilizadores estão habituados a um certo modo de realizar uma opção noutras aplicações (quer web, quer desktop), ao usarmos o mesmo meio, estamos a facilitar a vida ao utilizador.


• Ser bastante específico quanto aos erros que ocorrem, para o utilizador corrijir-los mais facilmente.