“Ernste Sicherheitslücke in SchülerVZ entdeckt” (gulli.com)

In dem (…) System existiert offenbar eine Sicherheitslücke, (…) dass die im Link enthaltenen Zeichen ordnungsgemäß interpretiert werden (nämlich eine Escape-Sequenz durchlaufen). Das ermöglicht (…) das Einschleusen von aktivem HTML- oder JavaScript-Code.

Etwas verklausuliert von gulli beschrieben. Es handelt sich einfach um Cross-Site Scripting.

Man kann geteilter Meinung zu den VZ-Netzwerken sein. Ob man sie nun gut oder weniger gut findet, sollte einen aber nicht davon abhalten, als erstes den Betreiber über eine Sicherheitslücke zu informieren. Wenn der 16jährige Finder der Lücke (noch) nicht weiß wie verantwortungsvoll mit Sicherheitslücken umgegangen wird, kann ich dies durchaus nachvollziehen — aber gulli weiß das.

Sollte ein Betreiber nach einem Hinweis zu Sicherheitslücken nicht reagieren, sollte er die Lücke also nicht schließen, so kann immer noch die Öffentlichkeit darüber informiert werden. In diesem Fall ist, meiner Meinung nach, die Sicherheit der VZ-Benutzer höher zu bewerten, als der kleine Peak in der Besucherstatistik von gulli.