Historie om McAfee Security Hole udløser en anden

Det bliver ikke meget ironiskere end dette: Et ReadWriteWeb-stykke beskriver flere fejl i cross-site scripting (XSS) på McAfee-webstedet. Historien indeholder nogle eksempler på kode, der blot vises som tekst på ReadWriteWeb.

New York Times afhenter historien, men i stedet for at vise prøvekoden udførte den den som en del af siden, hvilket forårsager enhver, der åbner historien for omdirigeres til ReadWriteWeb-webstedet. Årsagen? En XSS-sårbarhed (definition), en form for webfejl, der kan målrettes mod at stjæle data og ellers ødelægge din dag.

Sådan ses det misfortolkede afsnit i NYT:

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Prøvekode burde have været vist efter citatet, men blev udført i stedet.

Så en historie om et sikkerhedshul på et sikkerhedsselskabs websted afslører den samme slags sikkerhedshul i websted, der fortæller historien. Ifølge Lance James of Secure Science, som fandt ud af, hvad der foregik efter at være blevet kontaktet af historiens forfatter, kunne NYT-fejlen tillade enhver, hvis historier bliver syndikeret med webstedet (eller enhver der har en historie, der bliver syndikeret) for at udnytte Sikkerhedshullet.

ReadWriteWeb-historiens forfatter, Lidija Davis, har ændret det originale stykke til at bruge et skærmbillede i stedet for tekst, men NYT-webstedet viste stadig den originale historie, da jeg lige har tjekket. Her er den opdaterede historie om RWW, og den syndikerede version på New York Times, som omdirigerer dig til RWW. Hvis du er hurtig i uafgjort, kan du muligvis slå stopknappen i din browser, før de NYT omdirigerer dig.

Problemet ligger med den prøvekode, der vises under nr. 3 i "Sådan: HTML-indsprøjtning" afsnit af historien, ifølge james Han siger, at han lader NYT vide om webstedsproblemet.