XSS-Lücke in Twitter

[Titus]

http://www.heise.de/newsticker/meld...itsluecke-verbreitet-sich-rasant-1082975.html

Wer sich davor schützen will, sollte JavaScript deaktivieren.

also bei so einem großen Dienst hätte ich so eine idiotische Lücke nicht erwartet! 8o

 

[rellek]

Sagen wir lieber es ist eine XSS-Lücke*... Und zwar ist sie wohl im Parsing von twitters eigenem URL-Verkürzer. (steht das auch bei heise? Wenn ja, schwöre ich an dieser stelle, dass ich heise noch nciht gelesen habe)


* Sonst fühlen sich diverse Screen-Designer möglicherweise auf den Schlips getreten.

 

[Titus]

hier steht nun mehr drüber
http://www.heise.de/newsticker/meldung/Twitter-und-der-XSS-Zombie-1083200.html

 

[Nexan]

Macht zumindest kein seriösen Eindruck da. Wobei man sagen muss, dass sie bei anderen Problemen, wie z.B. Spam etc. im Vergleich zu anderen größeren Plattformen relativ schnell reagieren.

 

[rellek]

Der Linux-Kernel hatte neulich auch so eine Lücke, die eigentlich geschlossen war und dann durch einen anderen Patch wieder offen war. Das passiert eben...
http://www.heise.de/newsticker/meldung/Luecke-im-Linux-Kernel-ermoeglicht-Root-Rechte-1081195.html

 

[GameR]

Jepp, gegen XSS und SQL-Injections ist man nie immer gefasst. Wobei sich SQL-Injections durch strenges Verwenden von Prepared-Statements vermeiden lässt.

 

[rellek]

Und XSS durch eine vernünftige Template-Engine

 

[GameR]

Na ja, nicht unbedingt, wenn man an zu vielen "Stellen" wieder Ausnahmen machen muss. Mal sagst du HTML soll zugelassen sein, dann aber kein JavaScript, dann willst du einen Link, musst da aber genau schauen wie. Ach ich liebe Reguläre-Ausdrücke.