McAfee Security Hole -historia Toinen

Se ei ole kovin ironinen kuin tämä: ReadWriteWeb-kappale paljasti McAfee-verkkosivustossa useita sivustojen välisten komentojen tekijöiden (XSS) puutteita. Tarina sisältää esimerkkikoodin, joka näkyy vain tekstinä ReadWriteWebissä.

New York Times otti tarinan, mutta näytekoodin näyttämisen sijaan se toteutti sen osana sivua, mikä aiheutti kuka tahansa, joka avaa tarinan ohjataan ReadWriteWeb-sivustolle. Syy? XSS-haavoittuvuus (määritelmä), eräänlainen verkkohäiriö, joka voidaan kohdistaa tietojen varastamiseen ja muutoin tuhoamaan päiväsi.

Näin NYT: n väärin tulkittu osio näyttää:

[Lue lisää: haittaohjelmat Windows-tietokoneelta]

Näytekoodi olisi pitänyt näkyä tarjouksen jälkeen, mutta sen sijaan se toteutettiin.

Turvallisuusyhtiön verkkosivustossa olevan tietoturva-aukon tarina paljastaa samanlaisen tietoturva-aukon sivusto, joka kertoo tarinan. Securen tiedekunnan Lance Jamesin mukaan, joka tajusi, mitä tapahtui sen jälkeen, kun tarinan kirjoittaja oli ottanut yhteyttä, NYT-virhe voisi sallia kenelle tahansa, jonka tarinoita syndikoituu sivustolla (tai joku, joka hakkeroi syndikoidun tarinan) hyödyntämään turvallisuusreikä.

ReadWriteWeb-tarinan kirjoittaja Lidija Davis on muuttanut alkuperäistä kappaletta tekstin sijaan, mutta NYT-sivusto osoitti vielä alkuperäistä tarinaa, kun olen juuri tarkistanut. Tässä on päivitetty tarina RWW: stä ja New York Timesin syndikoitu versio, joka ohjaa sinut RWW: hen. Jos olet nopea piirroksessa, saatat joutua napsauttamaan selaimesi pysäytyspainiketta, ennen kuin NYT ohjaa sinut uudelleen.

Ongelma on kohdassa "Miten: HTML-injektio" alla oleva esimerkkikoodi näkyy kohdassa # 3. osa tarinaa Jamesin mukaan. Hän sanoo, että hän antoi NYT: lle tietää sivuston ongelmasta.