Zitat: Original von DeaD_EyE @Trineas, das hat nichts mit Vertrauen zu tun. Schlichtweg: es ist eine Sicherheitslücke. Wer Userinput nicht vernünftig validiert, wird immer mit diesen Problem zu kämpfen haben. Genauso könnte man durch einen Bug im BB-Code-Parser html/javascript mit einschleusen. Das jetzt html verwendet worden ist, ändert nichts an der Tatsache, dass die keine vernünftige Validierung der Eingaben machen. |
Fehlende Validierung = Sicherheitslücke??
Das ist so nicht richtig!
Eine Sicherheitslücke ist immer ein Fehler in einer Software.
Der einzige Fehler hier war wohl eher zu viel Vertrauen.