Vlákno názorů k článku
eBay nebude opravovat bezpečnostní chybu umožnující šíření malware od source - Že o chybě ví a stejně ji neopraví...

Že o chybě ví a stejně ji neopraví je tedy drsné.

Ona to není chyba v programu, ale chyba v návrhu. Zakázat vkládání scriptů by rozbilo okamžitě plno věcí. A upravovat "validátor" tak, aby právě tenhle kus JS kódu zablokoval, by byl nekonečný boj. Po malé modifikaci by zase fungoval. A pokud jste se na ten JS kód podíval, tak asi uznáte, že tohle rozpoznat automaticky není triviální úloha a použité znaky nemůžete blacklistovat.

Osobně předpokládám, že se tomu už interně věnují, ale než to probublá managementem tak to budou roky. A uvedený počet exploitů na počet stránek vypadá tak trochu jako prosba o pomoc: napiště více exploitů a pomozte nám tlačit na management. Možná až to bude řádově promile, tak bude odvaha kupříkladu javascript zcela zablokovat i za cenu, že bude plno zákazníků nadávat.

Udělat blacklist na tohle: https://github.com/aemkei/jsfuck/blob/master/jsfuck.js
mi teda jako problém nepřijde. Myslím, že mají ebay prodejci dost interních nástrojů na to, aby tam ještě museli vkládat skripty.

To, co linkujete, není ten javascript, co se do stránky vkládá. To je generátor toho scriptu. Ten skutečný javascript vypadá takhle: https://i.iinfo.cz/images/107/jsfuck-1.png

A tohle opravdu zvládnete blacklistovat?

A co tak pravidlo „neobsahuje žádný alfanumerický znak“?

Myslel jsem blacklist těch znakových posloupností. Např. "[]" bude zakázáno.

Jedny co muzou delat na svoji strane, je povolit vkladani neceho co se jen jako JS tvari (nejaka podmnozina) a do skutecneho JS to prekladat.