Lainnya pada McAfee Security Hole Triggers Lainnya

Tidak menjadi lebih ironis daripada ini: Sepotong ReadWriteWeb merinci beberapa cacat skrip lintas situs (XSS) di situs Web McAfee. Cerita ini mencakup beberapa contoh kode yang hanya ditampilkan sebagai teks di ReadWriteWeb.

The New York Times mengambil ceritanya, tetapi alih-alih menampilkan kode contoh, ia mengeksekusinya sebagai bagian dari halaman, menyebabkan siapa saja yang membuka cerita untuk diarahkan ke situs ReadWriteWeb. Penyebab? Kerentanan XSS (definisi), jenis cacat Web yang dapat ditargetkan untuk mencuri data dan sebaliknya merusak hari Anda.

Berikut ini bagaimana bagian yang salah ditafsirkan dalam NYT terlihat:

[Bacaan lebih lanjut: Cara menghapus perangkat lunak perusak dari PC Windows Anda]

Kode contoh seharusnya telah ditampilkan setelah kutipan, tetapi dieksekusi.

Jadi, kisah tentang lubang keamanan di situs web perusahaan keamanan memaparkan jenis lubang keamanan yang sama di situs yang menceritakan kisahnya. Menurut Lance James of Secure Science, yang mengetahui apa yang sedang terjadi setelah dihubungi oleh penulis cerita, cacat NYT dapat memungkinkan siapa saja yang ceritanya disindikasikan dengan situs (atau siapa pun yang meretas sebuah kisah yang disindikasikan) untuk mengeksploitasi

Penulis cerita ReadWriteWeb, Lidija Davis, telah mengubah karya asli untuk menggunakan screen shot alih-alih teks, tetapi situs NYT masih menampilkan cerita asli ketika saya baru saja memeriksanya. Inilah kisah yang diperbarui di RWW, dan versi sindikasi di New York Times, yang akan mengarahkan Anda ke RWW. Jika Anda cepat dalam pengundian, Anda mungkin dapat menekan tombol stop pada browser Anda sebelum mereka mengalihkan Anda ke NYT.

Masalahnya terletak pada kode contoh yang ditampilkan di bawah # 3 dalam "How To: HTML Injection" bagian dari cerita, menurut James. Dia mengatakan dia membiarkan NYT tahu tentang masalah situs.