Security und „ebay“ des tages

Es scheint möglich zu sein¹, in eine „ebay“-nachricht an einen anderen nutzer von „ebay“ eine datei einzubetten, in deren dateiname javascript eingebettet ist — über diesen XSS-angriff kann das „ebay“-konto beim betrachten der nachricht gepwnt werden. Das problem war bei „ebay“ seit mehr als einem jahr bekannt, dagegen gemacht wurde nichts. Da bekommt der alte reklamespruch „drei-zwei-eins-meins“ gleich eine ganz neue bedeutung.

Ich wünsche euch auch weiterhin viel spaß beim vertrauen auf die dicken, bunten sicherheitsversprechen großer web-geschäftemacher!

Habe ich eigentlich schon einmal erwähnt, dass ich javascript für eine pest halte?!

¹Ich habe es nicht ausprobiert, meldung via full disclosure.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.