Historia en McAfee Security Hole Triggers Otra

No hay nada más irónico que esto: una pieza de ReadWriteWeb detalla varios defectos de scripts entre sitios (XSS) en el sitio web de McAfee. La historia incluye un código de muestra que simplemente se muestra como texto en ReadWriteWeb.

The New York Times recogió la historia, pero en lugar de mostrar el código de muestra, la ejecutó como parte de la página, lo que causó que cualquiera que abra la historia ser redirigido al sitio ReadWriteWeb. ¿La causa? Una vulnerabilidad XSS (definición), un tipo de falla web que puede ser objetivo para robar datos y arruinar su día.

Así es como se ve la sección mal interpretada en el NYT:

[Más información: cómo eliminar malware de su PC con Windows]

El código de muestra debería haberse mostrado después de la cita, pero en su lugar se ejecutó.

Entonces, una historia sobre un agujero de seguridad en el sitio web de una compañía de seguridad expone el mismo tipo de agujero de seguridad en el sitio que cuenta la historia Según Lance James de Secure Science, quien descubrió lo que estaba pasando después de ser contactado por el autor de la historia, la falla del NYT podría permitir a cualquiera cuyas historias se sindican con el sitio (o cualquiera que piratee una historia que se distribuya) explotar el agujero de seguridad.

La autora de la historia de ReadWriteWeb, Lidija Davis, ha cambiado la pieza original para usar una captura de pantalla en lugar de texto, pero el sitio de NYT seguía mostrando la historia original cuando acabé de verificarlo. Aquí está la historia actualizada sobre RWW, y la versión sindicada en el New York Times, que lo redirigirá a RWW. Si eres rápido en el sorteo, es posible que puedas presionar el botón de detención en tu navegador antes de que NYT te redireccione.

El problema radica en el código de muestra que se muestra en el n. ° 3 en "Cómo: Inyección de HTML" sección de la historia, de acuerdo con James. Él dice que le hizo saber al NYT sobre el problema del sitio.