Cross site scripting?

Javascript ist eine clientseitige Sprache und wird nur auf dem Rechner des Benutzers ausgeführt, der die Seite gerade geladen hat. Der Server oder die Datenbank sind also nicht unmittelbar gefährdet. JavaScript zuzulassen kann für manche Funktionen sinnvoll sein.

OK, wenn jemand unbedingt seine Originalität mit einem Popup Alert Fenster unter Beweis stellen will, kann das schon etwas nervig sein. Er riskiert dabei allerdings die Löschung des Posts und die Sperrung durch den Admin (so würde ich es jedenfalls machen).

Wir werden deshalb in der nächsten Version von KISS Advertiser die Möglichkeit einbauen, 'verbotene' Begriffe herauszufiltern. In diese Liste kann man dann z. B. das Wort '<script>' eintragen und dann ist Ruhe mit 'Hallo Welt'

Hi Marc,

in der Anfangsphase der ersten KISS Advertiser Version, die noch unter Joomla 1.5 lief, hatten wir mal im Jahr 2010 einen Fall von XSS injection vulnerability. Wir hatten den Fehler behoben, danach war Ruhe.

In den ganzen 10 Jahren danach hatten wir nicht einen einzigen Fall von Cross Seite Scripting, der uns bekannt wurde (bei über 40.000 Installationen hätten wir was merken müssen, selbst wenn uns nicht alle Probleme gemeldet werden).

Da KISS Advertiser aus über 100.000 Programmzeilen besteht, von denen sehr viel Code auch Javascript ist, können wir natürlich nicht 100%ig ausschließen, dass ein böswilliger Angriff mit krimineller Energie auch Schadcode einschleusen kann.

Wir glauben aber, dass der Advertiser relativ sicher ist. Insbesondere die Datenbank ist gut abgesichert, die SQL Abfragen werden vor Übergabe an die Datenbank auf verdächtigen und unerlaubten Code überprüft.