История о McAfee Security Hole Triggers Another

Это не так уж иронично: часть ReadWriteWeb подробно описала некоторые ошибки межсайтового скриптинга (XSS) на веб-сайте McAfee. История включает в себя пример кода, который просто отображается в виде текста в ReadWriteWeb.

The New York Times подобрала эту историю, но вместо того, чтобы отображать образец кода, он выполнил ее как часть страницы, в результате чего любой, кто открывает историю, перенаправляться на сайт ReadWriteWeb. Причина? XSS-уязвимость (определение), тип ошибки в сети, которая может быть направлена ​​на кражу данных и в противном случае разрушает ваш день.

Вот как выглядит интерпретируемый раздел в NYT:

[Читать дальше: Как удалить вредоносных программ с вашего ПК с Windows]

Пример кода должен отображаться после цитаты, но вместо этого был выполнен.

Таким образом, рассказ о дыре безопасности на веб-сайте компании безопасности предоставляет такое же защитное отверстие в сайт, рассказывающий историю. По словам Лэнса Джеймса из Secure Science, который выяснил, что происходит после того, как автор статьи рассказал об этом, недостаток NYT может позволить любому, чьи истории синдицируются с сайтом (или любым, кто взламывает историю, которая получает синдицированный), чтобы использовать дыра безопасности.

Автор книги ReadWriteWeb, Лидия Дэвис, изменила оригинальную пьесу, чтобы использовать экранный снимок вместо текста, но сайт NYT по-прежнему показывал оригинальную историю, когда я только что проверил. Вот обновленная история о RWW и синдицированная версия в New York Times, которая перенаправит вас на RWW. Если вы участвуете в розыгрыше, вы можете нажать кнопку «Стоп» в своем браузере, прежде чем они переадресуют вас на NYT.

Проблема заключается в том, что пример кода, отображаемый под №3 в «How To: HTML Injection», согласно рассказу Джеймса. Он говорит, что пусть NYT знает о проблеме сайта.