| Zitat: Original von Trineas
Es ist keine Sicherheitslücke gewesen. Wenn man den Entwicklern nicht trauen kann, dass sie ein Tool nicht missbrauchen, dann dürften sie ja überhaupt nichts über Steam veröffentlichen. Darüber könnten sie Viren und Malware verbreiten, viel schlimmere Dinge als sie jemals mit HTML anstellen könnten. |
HTML ist schon Okay. Javascript - wenn das wirklich erlaubt war - nicht. Cross-Site-Scriping ist böse. Persistentes Cross-Site-Scripting ist wirklich übel. Hast du von dem "selbst-retweetenden" Tweet gehört? Das war persistentes XSS.
Damit kann man alles mögliche anstellen. Session-Cookies klauen, Aktionen im Browser durchführen, Downloads anstoßen, Dinge in den Local Storage vom Browser schreiben, content (z.b. weitere Scripts) nachladen, Requests absetzen, etc. ... und nicht jeder hat NoScript. Da die Foren auch über Steam zugängig sind UND Steam mehr oder minder ein Browser ist, kann man mit XSS in Foren-Posts bzw. Announcements sehr, sehr viel schaden anrichten, wenn man weiß was man tut.
XSS ist in jedem verdammten Fall zu vermeiden. Traue niemandem.
Edit: Es ist außerdem leichter für Valve die hochgeladenen Spiele-Dateien auf Viren zu prüfen als alle Forenposts auf XSS.
