IDG har i en artikel tagit upp farorna med XSS (Cross-Site Scripting) som många webbplatser verkar ignorera. Det står i artikeln att JSP och PHP saknar inbyggt skydd för detta. Underförstått har största konkurrenten (Microsoft .NET) ska ha inbyggt skydd. Det stämmer bra, att ASP.NET reagerar på "farliga" postbacks, och genererar ett felmeddelande. Dock vill man ofta i sina applikationer låta användaren skicka alla tecken, även < och > och då stängs detta skydd av (det är väldigt enkelt). Då måste man ändå skydda sig själv, vilket man naturligtvis ALLTID ska göra.

Detta skydd man gör själv, handlar om att se till att användargenererad kod inte hamnar i presentationslagret. Användaren ska (nästan) kunna posta html-kod och liknande. Det bäddar för XSS (Cross-Site Scripting). I ASP(.NET) är det enkelt att köra Server.HtmlEncode på utdata som kommer från användaren, och på så vis är man skyddad. Jag kan bara gissa att både PHP och JSP har liknande metoder för att säkra upp webbplatser.

I tisdags (runt 21 svensk tid) släppte Google den första publika beta versionen på sin nya webbläsare (chrome).

Nu har de första allvaraliga säkerhetsbristerna uppdagats.

Open Source i all ära, men här har Google tydligen använt sig av en gammal version av WebKit (som också används av Safari), som innehåller en säkerhetsbrist (som Apple har fixat i Safari).

Läs mer här: http://reddevnews.com/news/print.aspx?editorialsid=10170

nyteknik har också skrivit lite om lanseringen, och webbläsarens funktioner. De har dock inte snappat upp säkerhetsluckan ännu. Läs här: http://www.nyteknik.se/nyheter/it_telekom/internet/article405196.ece