@Trineas, das hat nichts mit Vertrauen zu tun. Schlichtweg: es ist eine Sicherheitslücke. Wer Userinput nicht vernünftig validiert, wird immer mit diesen Problem zu kämpfen haben. Genauso könnte man durch einen Bug im BB-Code-Parser html/javascript mit einschleusen. Das jetzt html verwendet worden ist, ändert nichts an der Tatsache, dass die keine vernünftige Validierung der Eingaben machen.
@King2500: Das spielt keine Rolle ob man Geschäftspartner ist oder nicht. Ansonsten könnte sich z.B. Ebay auch nur auf die AGB berufen. Sie arbeiten aber aktiv daran, dass z.B. Cross-Site-Scripting unterbunden wird.
@all: Vielen scheint die Tragweite gar nicht so bekannt zu sein. Wenn man es geschickt anstellt, würde man auch an Kreditkartennummern kommen. Es reicht dann aus, wenn einer den Beitrag im Forum liest und dann ein Spiel kauft ohne vorher das Fenster zu schließen. Das Javascript kann das Opfer dann z.B. auf eine vorbereitete Seite umleiten um dann später die Daten abzugreifen. Letztendlich geht es darum alle zu schützen und da bilden die Entwickler keine Ausnahme. Generell geht man davon aus, dass jeder im Internet böse Absichten hat und so hat man auch gefälligst zu programmieren. Alles Andere ist zum Scheitern verurteilt.
Wer mal mit jQuery gearbeitet hat, weiß wie einfach es ist Elemente auf der Seite auszutauschen (sogar mit Kompatibilität für fast alle Browser). Die Möglichkeiten sind echt beängstigend.