YouTube Twitter Facebook RSS-Feed

Kennst Du meine Videos auf ?

Meine Kanäle: Comedy & Cartoons / Reise-Abenteuer / Vlog-Schrott
 
4. Juli 2010 / 16:18

HTML-Injections auf YouTube (für Arschlöcher)

Oben im Bild: 2 Arschloch-Kommentare. :-)

So sieht es also aus, wenn YouTube gehackt wird. Lustige Leute schreiben über ihre Arschlöcher. Ich bin gespannt, wie lange diese HTML-injections wohl halten werden. Derzeit scheinen sie noch nicht wirklich gefährlich zu sein, da die meisten nur „Marquees“ enthalten, also Laufschriften. Denkbar ist aber auch die Injection mit echtem Schadcode, der einen Virus/Wurm/Wasauchimmer-artige Sache auf dem eigenen Rechner installieren könnte, oder, noch schlimmer: ein Script, das in der Lage ist, Passwörter (z.B. das YouTube-Passwort) abzufangen.
Also, seid auf der Hut und blockt JEDEN, der so einen Kommentar abgibt (Nicht auf den Channel klicken! Besser den Usernamen ins Adressbuch kopieren und dort blocken), damit er 1. nicht in der Lage ist, bei euch derartiges zu kommentieren und 2. damit sein YouTube-Account und seine E-Mail-Adresse für YT dauerhaft gesperrt werden.

P.S. YouTube hat anscheinend schon reagiert und die Kommentare per „Safe-Mode“ ausgeblendet. Mal schauen, wie lange es dauert, bis sie auch gelöscht werden.

Update: Das Problem hat YouTube nach wenigen Stunden wieder in den Griff gekriegt. Ich frage mich zwar immer noch, wie es sein kann, dass die Programmierer einer so bekannten Webseite diese Lücke übersehen haben (Ist String-escapen nicht mittlerweile ein Standard und ausreichend getestet?), aber natürlich sehen Millionen Augen auch mehr als nur zwei oder drei ;)
Hoffen wir, dass sich so schnell keine weitere Lücke auftut.

 
 

14 Reaktionen zu HTML-Injections auf YouTube (für Arschlöcher)

  1. StrawbellyCake

    Jap, ist uns gerade auch aufgefallen. Man kann diese Kommentare dank dem "Safe-Mode" aber nun auch selbst löschen ist mir aufgefallen. Einfach Kommentare wieder einblenden lassen und dann erscheint neben dem Kommentar rechts oben wie gewohnt der Mülleimer zum Löschen. So konnte ich jedenfalls die Kommentare zu zwei meiner Videos retten. :)

  2. Voutshy

    Manniac, achtung ! Nicht alle Blocken ! Manche haben dadurch die möglichkeit deine ISP zu hacken. Deswegen ins Adressbuch kopieren (den usernamen) und dann Blocken ! Niemals auf dne Channel klicken.

  3. Kai

    Menno ich wollte heute ein Video hochladen und jetzt sowas.
    Sonntags ist YT immer im Arsch.

  4. Tavin

    habe schon automatische weiterleitungen gesehen, sowie popups die einen Auffordern seinen Systemordner zu löschen.
    Es ist _sehr_ unangenehm

  5. lukas2511

    das ist alles nur eine spielerei mit diesen html-injections.. wirklich schaden können die einem nicht, zumindest nicht direkt.. es ist evtl möglich das man durch diese html injects eine weiterleitung auf eine seite macht die youtube ähnlich sieht bei der man dann evtl sein passwort eingeben muss oder so.. also am besten niemals das passwort eingeben wenn man plötzlich danach gefragt wird, dann kann auch nichts passieren. natürlich sollte man auch keine plötzlichen downloads annehmen aber das ist ja selbsterklärend...

    an sich das schlimmste das so passieren kann ohne das man selbst was beisteuert ist das man den browser abstürzen lassen kann.. (wobei firefox dagegen nen schutz hat, der fragt nach ner zeit ob die ressourcenlastige seite gestoppt werden soll)

    ok.. so das war mein müll dazu.. und den ISP (Internetdienstanbieter) hacken.. boah das würde ich auch gerne mal machen.. dann gäbe es gratis high speed internet für mich usw.. wäre schon iwie geil.. haha...

  6. @StrawbellyCake: Stimmt. Vorhin ging das noch nicht. Prima, dann dürfte ich jetzt alle bei mir gelöscht haben.

    @Voutshy ISP? Aber du hast recht, man sollte nicht direkt auf deren Seite gehen dazu.

    @luka2511 "schaden können sie einem nicht, zumindest nicht direkt" klingt lustig, wenn du gleich darauf schon ein prima Beispiel für einen direkten Schaden nennst ;-)
    Wenn jemand nicht merkt, dass er auf einer fremden Seite ist, dann kann es schon sein, dass er darauf reinfällt, und ich bezweifle, dass die meisten YT-User wissen, was eine HTML-Injection ist oder mit irgendwas in der Art rechnen

  7. Tavin

    manniac, mach doch bitte ein kurzes warnvideo, damit nicht all zu viele deiner Schäfchen reingelegt werden.

  8. @Tavin: Es haben ja schon ein paar Warnvideos gemacht. Aber ich denke, das Gröbste ist vorbei. Als ich zuletzt geschaut habe, waren die HTML-Codes bereits entfernt

  9. jozze_w

    @Voutshy & @manniac ISP ist nix weiter als Internet Service Provider... und wenn sie den haben bringt das denen überhaupt gar nix, null, niente. Trotz alledem sollte man nicht auf die Channels gehen, da sich dort noch andere Werte auslesen lassen.

  10. Thomas

    Herzlichen Glückwunsch, du hast es auf den Newsticker in heise.de geschafft ;-)

    http://www.heise.de/newsticker/meldung/Google-schliesst-Cross-Site-Scripting-Luecke-in-YouTube-Kommentaren-1032907.html

    Nur falls du dich wunderst wenn die Zugriffszahlen in die höhe schnellen.

  11. alexandro

    hi,

    es gibt noch weitere lustige injections so kann man z.b durch posten eines "backdoor" bzw. "easter eggs" verhindern - das leute ein video kommentieren können ;))

  12. @jozze_w Ich hatte mich nur gewundert, wie man einen Internet Service Provider hacken kann :) Ich dachte, er meinte vielleicht etwas anderes mit der Abkürzung.

    @Thomas Danke, hab's natürlich schon gemerkt :)

    @alexandro Würde mich wundern, wenn die jetzt noch funktionieren..

  13. it

    Immer diese halbwissenden...
    "schaden können die einem nicht"

    Schon mal von SessionStealing /Hjiacking gehört?
    Wohl nicht was...

  14. Babelfish Twitter Hack!? « Medien / Gesellschaft « BLOG OFF!

    [...] hatten wir doch schon diesen Spass mit YouTube. Kommt dann Facebook als nächstes [...]


Nachfolgebeitrag:
Vorgängerbeitrag:

powdered by wordpress and manniac.de and Bilder Blog (cc-by-nc-sa) 2007