Historia o wyzwalaczach wyzwolenia McAfee Security Inna

Nie ma w tym nic bardziej ironicznego: Fragment ReadWriteWeb wyszczególnił kilka błędów XSS (cross-site scripting) na stronie internetowej McAfee. Historia zawiera przykładowy kod, który po prostu wyświetla się jako tekst w ReadWriteWeb.

The New York Times podchwycił tę historię, ale zamiast wyświetlać przykładowy kod, wykonał ją jako część strony, powodując, że każdy, kto otwiera historię zostać przekierowany na stronę ReadWriteWeb. Powód? Luka w zabezpieczeniach XSS (definicja), rodzaj wady sieciowej, która może być celem kradzieży danych iw inny sposób zrujnować Twój dzień.

Oto jak wygląda źle interpretowana sekcja w NYT:

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Przykładowy kod powinien zostać wyświetlony po ofercie, ale zamiast tego został wykonany.

Tak więc historia o dziurce bezpieczeństwa w witrynie firmy ochroniarskiej ujawnia ten sam rodzaj luki w zabezpieczeniach strona, która opowiada historię. Według Lance'a Jamesa z Secure Science, który zorientował się, co się dzieje po skontaktowaniu się z autorem tej historii, nieprawda NYT może pozwolić każdemu, kogo historie uzyskać konsorcjum z witryną (lub kimkolwiek, kto włamie się do historii, która zostanie syndykowana) w celu wykorzystania luka w zabezpieczeniach.

Autorka opowiadań ReadWriteWeb, Lidija Davis, zmieniła oryginalny kawałek, by użyć zrzutu ekranu zamiast tekstu, ale strona NYT wciąż pokazywała oryginalną historię, kiedy właśnie sprawdziłem. Oto zaktualizowana historia RWW i syndykowana wersja New York Timesa, która przekieruje Cię do RWW. Jeśli jesteś szybki w losowaniu, możesz trafić przycisk zatrzymania w przeglądarce, zanim przekieruje Cię NYT.

Problem leży w kodzie przykładowym wyświetlanym pod # 3 w "Jak: HTML Injection" część historii, według Jamesa. Mówi, że powiadomił NYT o problemie z witryną