Zig hundert tausend Mitglieder von Orkut waren es letztes Jahr. Sie fingen sich einen Java Scritp Wurm ein als sie auf ein Hacker Profile gingen. In diesem Profil war ein Java-Script Wurm der sich über die Scrapbooks von Orkut, also die Gästebücher, in die er HTML-Code einschleust, um weiteren speziellen JavaScript-Code von einer externen Seite nachzuladen.

Bei Google Spreadsheets konnte man noch bis vor kurzem Java Scripts in Tabellenfelder schreiben, die die Google Cookies von eingeladenen Mitgliedern auslas und so den Zugang auf die Google Accounts ermöglichte.

Bei eBay gab es eine Missbrauchmoeglichkeit durch das Einbinden aktiver Inhalte wie Flash-Animationen auf den Auktionsseiten. Mit Schadprogrammen liessen sich dann Daten  (z.b. Adressen und Bankdaten) ausspähen und manipulieren.

Diese Sicherheitsluecken sind zwar jetzt geschlossen, doch kann man davon ausgehen, dass es immer mehr neue Gefahren bei dynamischen User generated Inhalten wie Ajax Features und Flash Applikationen gibt.

Es ist wohl nur eine Frage der Zeit bis Hacker sich auch in die dynamischen Banner bei der Online Werbung einhacken.

Wie kann man sich davor schuetzen?

Auf Seiten mit niedrigen Sicherheitsstandards nicht auf alles klicken was sich bewegt... ;-)