Matt's Script Archive: Když Perl změnil internet

Zní to jako pohádka, ale je to realita. Dávno před WordPressem, dávno před Squarespacem a dávno předtím, než někdo vůbec vymyslel termín "no-code", existoval teenager jménem Matt Wright. A ten se rozhodl sdílet pár skriptů v Perlu.

Bylo to někdy kolem roku 1995. Wright spustil Matt's Script Archive – sbírku webových utilit, která zahrnovala kontaktní formuláře, komentáře, počítadla návštěv a jeden viral hit jménem WWWboard. Během pár měsíců jeho kód běžel na tisících webů. Normální lidé – lidé, kteří neměli tušení, co je to Perl nebo CGI – najednou měli funkční fóra a interaktivní prvky na svých stránkách.

První ochutnávka demokratizace nástrojů. A jako každá demokratizace, i tahle přinesla svůj chaos.

Propast mezi tvůrci a uživateli

Co dělalo Wrightovy skripty tak populární, to samé donutilo programátory hroutit se: prostě fungovaly. Ne elegantně. Ne bezpečně. Ale fungovaly.

Wright narazil na fundamentální pravdu o přijetí software: většina lidí nechce rozumět svým nástrojům. Chce, aby nástroje rozuměly jim. Majitel malého obchodu v roce 1996 neřešil validaci vstupů ani ochranu před SQL injection. Chtěl jen, aby návštěvníci mohli na jeho webu nechat zprávu.

Zkušení vývojáři se přitom dívali na Wrightův kód a viděli noční můru. Hesla uložená v přístupných adresářích. Proměnné prostředí vystavené v URL. Jeho textcounter skript měl díru s CVSS skóre 10.0 – naprosté pootevřené dveře na server.

Perl komunita nakonec reagovala projektem nms (nongreedy's modifications), který vytvořil náhradní skripty bez bezpečnostních rizik. Jejich verdikt byl krutý, ale férový: skripty jsou "známé svou špatnou kvalitou, chybami a bezpečnostními problémy."

Paradox bezpečnosti v popularity

A tady to začíná být opravdu zajímavé.

Wrightovy skripty nebyly výjimečně hrozné pro svou dobu. Spousta raného webu měla bezpečnostní díry. Co bylo na jeho kódu nebezpečné, byl jeho dosah. Když tisíce webů používají stejný zranitelný software, vzniká obrovský útočný povrch. Teoretická zranitelnost se najednou mění v epidemii.

Tento vzorec se od té doby opakuje donekonečna. Windows. WordPress. jQuery. Každý nástroj dostatečně rozšířený se stává cílem ne proto, že je špatně navržený, ale protože je prostě všude. Práce bezpečnostní komunity není jen opravovat bugy – je přesvědčovat lidi, že "teď stačí" nemusí stačit později.

Ale tady je to napětí: někdy je "teď stačí" přesně to, co umožňuje růst. Startup používající vratký raný nástroj může vybudovat další WordPress. Zakázat lidem stavět s nedokonalými nástroji znamená zakázat jim stavět úplně.

Vibe coding, nová vlna

Přetočme čas o třicet let. Máme novou generaci "dostatečně dobrých" nástrojů: AI-assisted coding platformy, vibe-coded aplikace, LLM-generovaný kód nasazený rovnou do produkce.

Reakce bezpečnostní komunity už probíhá. Ano, existují obavy z AI-generovaného kódu se subjektivními zranitelnostmi. Ano, vedou se vášnivé debaty o tom, jestli je vibe coding zodpovědný. A ano, někteří lidé rozhodně nasazují nebezpečný bordel do produkce.

Ale co kritici přehlížejí: vibe coding dělá přesně to, co Wrightovy skripty. Umožňuje lidem, kteří nejsou profesionální vývojáři, dodávat fungující produkty. Solopreneur dnes může odpoledne postavit funkční webovou aplikaci. To není maličkost – to je demokratizace samotného tvoření.

Otázka není, jestli jsou vibe-coded aplikace bezpečné. Často nejsou. Otázka je, jestli přínosy přístupnosti vyváží bezpečnostní kompromisy. A historie naznačuje, že odpověď je komplikovaná, ale obecně pozitivní – s tím, že potřebujeme lepší nástroje, lepší výchozí nastavení a lepší vzdělávání.

Příběh domény

Je tu jeden post scriptum, který je relevantní pro každého, kdo vidí domény jako víc než jen adresy.

Worldwidemart.com – doména, která kdysi hostila Matt's Script Archive – nakonec vypršela. Chvíli tam byla plná spamu a gamblingového obsahu, který bydal Antivirus software noční můry. Pak ji loni někdo koupil s jasným účelem: zachovat historii archivu.

Někdo se staral o webovou historii natolik, aby zachránil její kousek od cybersquatterů. To stojí za zmínku. Domény nejsou jen technické assety – jsou to kulturní artefakty. Někdy příběh, který doména vypráví, má větší hodnotu než její SEO potenciál.

Co si z toho odnést

Tady je pár myšlenek pro moderní vývojáře, startupisty a tech podnikatele:

Za prvé: "Stačí" vždycky pohánělo adopci. Nepodceňujte nástroje jen proto, že se jim odborníci vysmívají. Nástroje, které lidé skutečně používají, mají větší váhu než ty, které schvalují experti.

Za druhé: Bezpečnostní dluh se kumuluje. Pokud stavíte na "stačí" základech, uvědomte si, co dědíte. Plánujte technický dluh. Zařaďte bezpečnostní audity do roadmapy.

Za třetí: Přístupnost a kvalita nejsou nepřátelé, ale vyžadují rovnováhu. Cíl není zabránit lidem ve stavění – je udělat bezpečné stavění jednodušší než stavění nebezpečné. To je na tvůrcích nástrojů. Na platformách. Na nás všech.

Matt Wright nechtěl formovat internet. Jen zpřístupnil skripty lidem, kteří je potřebovali. Někdy je to přesně to, co svět potřebuje. Jen si možná udržujte aktuální závislosti.