Příběh o spouštění McAfee Security Hole Another

Nedostává to mnohem ironičtější než toto: Část ReadWriteWeb podrobně popsala několik nedostatků skriptování mezi stránkami (XSS) na webu společnosti McAfee. Příběh obsahuje ukázkový kód, který se jednoduše zobrazuje jako text v programu ReadWriteWeb.

New York Times si tento příběh zvedl, ale místo toho, aby ukázal ukázkový kód, provedl ho jako součást stránky a způsobil každému, kdo otevírá příběh, přesměrováno na stránku ReadWriteWeb. Příčina? Vyloučení XSS (definice), typ chyby v webu, který může být zaměřen na krádež dat a jinak zničit váš den.

Zde je náhled, jak vypadá špatně interpretovaná sekce v NYT:

[Další informace: malware z vašeho počítače se systémem Windows]

Vzorový kód by měl být zobrazen po úvodní nabídce, ale byl spuštěn.

Takže příběh o bezpečnostním otvoru na webových stránkách bezpečnostní společnosti vystavuje stejný druh bezpečnostního otvoru místo, které vypráví příběh. Podle Lancea Jamese z Secure Science, který zjistil, co se děje poté, co byl kontaktován autorkou příběhu, chyba NYT by mohla dovolit komukoli, jehož příběhy se stanou syndikovanými s touto stránkou (nebo kdokoli, kdo narušuje příběh, který dostane syndikovaný), aby využil bezpečnostní díra

Autorka příběhu ReadWriteWeb Lidija Davis změnila původní dílo, aby použila obrazovku namísto textu, ale web NYT stále zobrazoval původní příběh, když jsem to právě zkontroloval. Zde je aktualizovaný příběh o RWW a syndikovaná verze na New York Times, která vás přesměruje na RWW. Pokud jste rychle v remíze, můžete stisknout tlačítko stop ve vašem prohlížeči předtím, než Vás NYT přesměruje.

Problém spočívá v ukázkovém kódu zobrazeném pod č. 3 v části "Jak na to: HTML Injection" část příběhu, podle Jamese. Říká, že nechal NYT vědět o problému s webem.