Sicherheitsproblem bei Shoppero

Kaum ist Nico Lummas shoppero.com gelauncht worden, da gibt es auch schon das erste Sicherheitsproblem. Wie Bjoern von ThinkPHP aufgedeckt hat, findet auf einer Empfehlungsseite eines Nutzers eine Second Order XSS Attacke statt, welche mal eben die eigene Session klaut. Damit auch „Otto-Normal“ das ganze versteht, dokumentiert Bjoern das ganze noch mit ein paar erschreckenden Screenshots und für alle Experten gibt es eine „Analyse“ des HTML-Sourcecodes.

Ok, so etwas kann passieren – Programmierer sind ja auch nur Menschen – aber vielleicht hätte sich das Shoppero-Team doch etwas mehr als knapp 6 Wochen Zeit nehmen sollen, um das System in die Public-Beta zu hieven. Vielleicht hätte es auch ein simples htmlentities() im Code gereicht, um zumindest den „gröbsten Dreck“ draußen zu lassen, doch kenne ich den Code nicht um derartige Rückschlüsse zu ziehen.

Nun ja, Nico wurde bereits per E-Mail benachrichtigt und es bleibt abzuwarten, wie lange der Bug bzw. der Schadecode noch online ist. Im Moment ist er es auf jeden Fall noch. Auf jeden Fall ist es kein wirklich guter Anfang für ein so junges Startup … So long, so was passiert und StudioVZ hat´s auch überlebt, von daher wird das Kind noch nicht in den Brunnen gefallen sein ;)

Update
Auch bei fixmbr ist man dem XSS-Problem schon auf die Schliche gekommen und auch hier gibt´s reichlich Stoff zur Diskussion