Hi

wär hier im Forum schon mal versehentlich seinen lokalen Pfad zu seiner Selfhtml-Kopie gepostet hat (wie hier z.B. Gunnar) und sowas wie den IE benutzt sollte vorsichtig sein auf was für Links er in Zukunft klickt.

Siehe dazu

http://bugs.selfhtml.org/bug.php?op=show&bugid=1322

Er könnte auf einen Link geraten der im searchstring Scriptcode enthält der lokal ausgeführt wird.

Das kann weitreichende Konsequenzen haben, z.B. können mittels XmlHttpRequests  lokale Files ausgelesen und übers Web kopiert werden. Die sonstigen Schweinereien zu denen der IE fähig ist mal unterm Tisch fallen gelassen.

Dieser Exploit funktioniert prinzipiell auch mit anderen Browsern, sofern man die anfällige Seite lokal aufrufen kann.

Allerdings AFAIK zum Glück nicht beim Selfhtml-Code!!!

Käme irgendwo in den Beispielen noch ein unescape() zum Einsatz könnte man jetzt prächtig manipulierte Links an Uniaccounts mailen, wo ein Pfad zu Selfhtml öffentlich bekannt ist. Mozilla würds z.B. fressen!

Wer bedenken hat sollte jetzt seine lokale Selfhtml-Kopie an einem unbekannten Pfad ablegen oder den Browser wechseln.

Auch solltet ihr euer eigenes DHTML-Gehacke überprüfen, habe bei mir selbst eine prächtige Lücke gefunden die in allen Browsern funktionierte!!!

Ciao
  LanX