Ich muss timmy_cz Recht geben: es ist eine Sicherheitslücke (wenn auch nicht eine super kritische, aber es ist eine). HTML verwenden schön und gut, da hat ja auch niemand was dagegen. Dass Valve allerdings Script-Tags (ganz ehrlich: wozu braucht ein Eintwickler in einer Ankündigung JavaScript?) zulässt geht in meinen Augen gar nicht.
Was wäre theoretisch möglich: irgendwer kommt auf welchem Wege auch immer an die Account-Daten eines Entwicklers. Nun muss er nur noch eine Ankündigung schreiben mit einer reißerischen Überschrift, auf den viele Nutzer klicken.
Nun kann er:
- Ein verseuchtes Flash-Objekt laden
- Den Nutzer auf eine verseuchte Seite weiterleiten
- Dem Nutzer die Steam-Login Seite vorgaukeln (ohne, dass eine andere Seite geladen werden müsste!), er solle doch bitte mal seine Login-Daten eingeben. Der gewöhnliche Nutzer würde das vielleicht hinterfragen, aber viele würden sie dennoch eingeben. (Ich weiß, es gibt immer noch Steam Guard, aber da es bestimmt Leute gibt, die ihre Logindaten auch auf anderen Seiten verwenden war es dennoch ein Gewinn für den Angreifer)
- ...?
Und aus oben genannten Fall sollte Valve zumindest alle Möglichkeiten von XSS Attacken entfernen und nicht den Entwicklern freie Fahrt lassen.
Und der Community-Ban ist meiner Meinung nach nicht gerechtfertigt, da er das System nicht missbraucht hat, um Schaden anzurichten, sondern um öffentlich auf ein Problem hinzuweisen.
Als Extrem-Beispiel: Edward Snowden hat auch Lücken im Sichherheitskonzept der NSA missbraucht, um die Öffentlichkeit auf Missstände hinzuweisen, nicht um die Infos teuer an den FSB zu verkaufen. Ist der Versuch der USA, ihn mundtot zu machen, gerechtfertigt?