A List Apart
"Då jag innan artikeln utvärderade säkerheten på en rad svenska communities visade det sig att ytterst få webbplatser hade tillräckligt skydd. Jag lyckades köra JavaScript via säkerhetshåll på stora svenska sidor såsom Playahead och Snyggast – säkerhetshåll vilka sedan rapporterades och fixades”
Community creators, secure your code! (Illustration av Kevin Cornell)
Under våren 2006 skrev jag en tvådelad artikel om säkerhet på communities åt det populära webbmagasinet A List Apart – ett magasin med miljoner besökare varje månad. Artiklarna gick under benämningen ”Community Creators – Secure Your Code” och diskuterade XSS (Cross-site scripting) attacker och hur man kunde skydda sig.
Då jag innan artikeln utvärderade säkerheten på en rad svenska communities visade det sig att ytterst få webbplatser hade tillräckligt skydd. Jag lyckades köra JavaScript via säkerhetshåll på stora svenska sidor såsom Playahead och Snyggast – säkerhetshåll vilka sedan rapporterades och fixades.
XSS-Attacker
Vid en XSS-attack lurar man communities att lägga in skadlig JavaScript i t.ex. sin presentation eller i en kommentar. När användaren sedan går körs denna JavaScript och utför en rad kommandon i användarens namn. Det kan handla om att skriva automatiskt i en gästbok, att rösta på personen eller att i värsta fall till och med radera användarens konto. Kort sagt kan scriptet utföra allt som den riktiga användaren kan förutsatt att det inte kräver ett lösenord.
» Läs mer om denna typ av attacker och hur du skyddar dig i del ett och del två på A List Apart.
