Su McAfee Security Hole Trigger Un altro

Non è molto più ironico di questo: un pezzo di ReadWriteWeb descriveva diversi errori di cross-site scripting (XSS) nel sito Web di McAfee. La storia include alcuni esempi di codice che vengono semplicemente visualizzati come testo su ReadWriteWeb.

Il New York Times raccolse la storia, ma invece di visualizzare il codice di esempio, lo eseguì come parte della pagina, facendo sì che chiunque aprisse la storia a essere reindirizzato al sito ReadWriteWeb. La causa? Una vulnerabilità XSS (definizione), un tipo di errore Web che può essere mirato a rubare dati e altrimenti rovinare la giornata.

Ecco come appare la sezione interpretata erroneamente nel NYT:

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Il codice di esempio avrebbe dovuto essere visualizzato dopo la citazione, ma è stato invece eseguito.

Quindi una storia su un buco di sicurezza nel sito Web di una compagnia di sicurezza espone lo stesso tipo di buco di sicurezza nel sito che sta raccontando la storia. Secondo Lance James di Secure Science, che ha capito cosa stava succedendo dopo essere stato contattato dall'autore della storia, il difetto del NYT potrebbe consentire a chiunque le sue storie vengano sindacate con il sito (o chiunque stia hackerando una storia che viene sindacata) per sfruttare il buco di sicurezza.

L'autore della storia di ReadWriteWeb, Lidija Davis, ha cambiato il pezzo originale per usare una schermata anziché il testo, ma il sito NYT mostrava ancora la storia originale quando ho appena controllato. Ecco la storia aggiornata su RWW e la versione sindacata sul New York Times, che ti reindirizzerà a RWW. Se sei veloce nel sorteggio, potresti essere in grado di premere il pulsante di stop sul tuo browser prima che il NYT ti reindirizzi.

Il problema si trova con il codice di esempio visualizzato al punto # 3 in "How To: HTML Injection" sezione della storia, secondo James. Dice che ha fatto sapere al NYT del problema del sito.