Henlich schreibt.

Aufgepasst, wenn euch jemand einen Link auf eine Seite der Domain www.elster.de zukommen lässt. Die Kollegen haben da eine Cross-Site-Scripting-Lücke eingebaut, die das Verbiegen des Download-Links (und andere nette Dinge) ermöglicht. Sogar mit HTTPS. Feine Sache das.

Dann ladet ihr nicht das ElsterFormular herunter, sondern vielleicht was ganz anderes. Kostprobe gefällig? Link, dort auf Ich stimme dem Vertrag zu klicken.

Update: Wie Erdgeist vom CCC auf Trackback berichtet, hat elster.de gerade noch ein viel größeres Problem mit HTTPS-Seiten.

Update 2: Die Lücke wurde inzwischen in aller Heimlichkeit geschlossen. Der eigene gute Ruf ist offenbar wieder mal wichtiger als die Sicherheit der (evtl.) betroffenen Nutzer.

Dieser Beitrag wurde am Samstag, 24. Mai 2008 veröffentlicht und unter Allgemein gespeichert. Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Kommentare sind momentan deaktiviert, aber Sie können einen Trackback von Ihrer Website hierher setzen.