HALF-LIFE PORTAL
Your Gate To Valve's Games www.hl-forum.de
PORTAL
FORUM
LOGIN
User oder E-mail:


Passwort:


oder
Registrieren
Passwort vergessen?
OpenID-Login
MISC
PARTNER

TF2 Crafting

Special Artworks by
Hayungs

Link us:
HL PORTAL

Support us:


HLPortal
auf Facebook

›› Willkommen!   ›› 90.981.235 Visits   ›› 18.318 registrierte User   ›› 9 Besucher online (0 auf dieser Seite)
23.788 Themen, 325.168 Beiträge  
    FORUM 

Beitrag anzeigen

Hier kannst du einen Beitrag einzeln betrachten

Thread


Autor Beitrag
# 1
Nachricht offline
Headcrab
0 Punkte
Dabei seit: 18.06.2014
4 Beiträge
Zitat:
Original von Trineas

Zitat:
Original von fsp

Dann soll Valve sich dazu äußern, Problem gelöst. Aber nicht auf Ignoranten spielen, es ist nunmal eine Sicherheitslücke gewesen. Denn HTML ist zur Gestaltung da, nicht um fremde Skripte einzubinden.


Es ist keine Sicherheitslücke gewesen. Wenn man den Entwicklern nicht trauen kann, dass sie ein Tool nicht missbrauchen, dann dürften sie ja überhaupt nichts über Steam veröffentlichen. Darüber könnten sie Viren und Malware verbreiten, viel schlimmere Dinge als sie jemals mit HTML anstellen könnten.


HTML ist schon Okay. Javascript - wenn das wirklich erlaubt war - nicht. Cross-Site-Scriping ist böse. Persistentes Cross-Site-Scripting ist wirklich übel. Hast du von dem "selbst-retweetenden" Tweet gehört? Das war persistentes XSS.

Damit kann man alles mögliche anstellen. Session-Cookies klauen, Aktionen im Browser durchführen, Downloads anstoßen, Dinge in den Local Storage vom Browser schreiben, content (z.b. weitere Scripts) nachladen, Requests absetzen, etc. ... und nicht jeder hat NoScript. Da die Foren auch über Steam zugängig sind UND Steam mehr oder minder ein Browser ist, kann man mit XSS in Foren-Posts bzw. Announcements sehr, sehr viel schaden anrichten, wenn man weiß was man tut.

XSS ist in jedem verdammten Fall zu vermeiden. Traue niemandem.

Edit: Es ist außerdem leichter für Valve die hochgeladenen Spiele-Dateien auf Viren zu prüfen als alle Forenposts auf XSS.
[Beitrag wurde 1x editiert, zuletzt von StringEpsilon am 18.06.2014, 07:33]
18.06.2014, 07:27 Uhr Anzeigen

Sections:  HLP  Board  Mods  Steam      Games:  HL  Op4  HLBS  HL2  HL2:Ep1  HL2:Ep2  Prtl  TF2  TFC  CS  DoD  L4D  Gunman
    USER ONLINE 
Insgesamt sind 9 Benutzer online. Davon ist 1 registriert:
    SITE OPTIONS 
- Zu Favoriten hinzufügen
- Als Startseite festlegen (IE only)
- Fehler auf dieser Seite?