Hello,

Abgesehen davon erfordert so ein Angriff halt tatsächlich besondere Umstände, beispielsweise die tatsächliche Ausnutzbarkeit einer vorhandenen Cross-Site-Scripting-Lücke.

Die ist in vielen Foren und Kontaktseiten aber gegeben, da dort oft veressen wird, Benutzereingaben kontextgerecht zu codieren.

Wenn also z.B. ein Benutzer einer Kontaktseite in der Lage ist, in seinem Benutzerprofil HTML unterzubringen, das dann auch noch (ungefiltertes) inline-CSS enhalten kann, ist schon eine doppelte Lücke vorhanden.

Das gibt es öfter, als man glauben mag.

Liebe Grüße aus Syburg bei Dortmund

Tom vom Berg