Letzte Woche habe ich mal wieder Hinweise zu Sicherheitslücken an XING gesendet. So langsam sollten die mich kennen, wahrscheinlich sind die schon ähnlich genervt wie die Jungs vom BSI, die immer die Hinweise weitergeleitet bekommen, wenn ich mal wieder Lücken in Bundes-Websites gefunden habe. :O)

Was ich da aber gestern von XING als Antwort bekommen habe…

>> nur kurz… Mal wieder etwas Cross-Site Scripting:
>>
>> http://tinyurl.com/#####

vielen Dank für die Mail.

Dieser Link ist uns nicht bekannt, bitte nutzen Sie den offiziellen Link:

http://blog.xing.com/category/german/

Mit XSS garnierte Links sind den Betreibern der Websites i.d.R. nie bekannt und immer inoffiziell.

Naja, Cross-Site Scripting benutzt man ja eh nur um lustige Bildchen in Websites einzubauen, aber nie um Authentifizierungs-Cookies auszulesen – nö, wirklich nicht! ;O)