A McAfee Security Hole története egy másik

Ez nem annyira ironikusabb, mint ez: A ReadWriteWeb-elem a McAfee webhelyén számos kereszttelepítési script (XSS) hibát tartalmazott. A történet magában foglal néhány mintakódot, amely egyszerűen megjelenik szövegként a ReadWriteWeb-en.

A New York Times felvette a történetet, de ahelyett, hogy bemutatta volna a mintakódot, az oldal részeként hajtotta végre, bárki, aki megnyitja a történetet át kell irányítani a ReadWriteWeb webhelyre. Az OK? Az XSS sebezhetőség (definiálás), a webes hibák egyik típusa, amelyek célzanak az adatok ellopására és egyébként tönkreteszi a napot.

Így néz ki az NYT félreértelmezett szakasza:

[További olvasmány: Hogyan távolítható el rosszindulatú program Windows PC-jéről]

A mintakódot az idézet után kellett megjeleníteni, de végrehajtásra került.

Tehát egy biztonsági cég webhelyének biztonsági szakasza történetét ugyanaz a biztonsági lyuk jeleníti meg amely a történetet meséli el. A Biztonsági Tudomány Lance James-je, aki rájön, hogy mi folyik a történet szerzője által történt megkeresés után, az NYT-hiba lehetővé teheti, hogy bárkinek, akinek történetei szinkronizáltak a webhelyen (vagy bárki, biztonsági lyuk.

A ReadWriteWeb történet szerzője, Lidija Davis megváltoztatta az eredeti darabot, hogy szöveg helyett a képernyőképet használja, de a NYT webhely még mindig az eredeti történetet mutatta be, amikor csak ellenőriztem. Itt van a frissített történet az RWW-ről, és a New York Times szindikált változata, amely átirányítja az RWW-re. Ha gyors vagy a sorsoláson, előfordulhat, hogy a NYT átirányítja Önt a Stop gombra a böngészőben.

A probléma a "Hogyan viselkedni: HTML injekció" című 3. pontban bemutatott mintakódot tartalmazza? a történet egy része James szerint. Azt mondja, hogy a NYT tudta a webhely problémáját.