Hallo,

Und nu?

Was, und nun?

Das Ding wird hier ehrenamtlich von ein paar Leuten gebaut  und gepflegt...

Aha. Und weiter? Macht es das irgendwie besser? Erklär das mal den
Leuten, die aufgrund solcher Fehler ihr Computersystem auf's Spiel
setzen.

Nehmen wir das Beispiel phpBB. Jede Woche werden darin ein oder
mehrere XSS-Bugs entdeckt. Folge: Besucher des Forums können um ihre
Session gebracht werden, wodurch der Angreifer vollen Zugriff auf den
jeweiligen Account erhält. Du kannst dir vielleicht denken, was das
heißen kann.
Sofern der Account eines Admin komprimitiert wird, hat der Angreifer
sogar Vollzugriff auf das gesamte Boardsystem. Und dann wird's
richtig böse.

Auch phpBB wird, wie du vielleicht weißt, rein ehrenamtlich entwickelt.

Obendrein gehst Du bei Deinem Nachbarn auch gucken ob man Seine Tür mit einem Dietrich (kennst Du so etwas überhaupt?) aufbekommt?

Nicht alles was hinkt, ist ein Vergleich.

Schade auch, daß man bei JavaScript keine HTTP-Auth-Geschichten anstellen

Schade das es Leute wie Dich gibt, die wenig produktiv beitragen, aber immer versuchen mit Pseudo und Halbwissen Unsinn anstellen zu wollen...

Du hast nicht verstanden. ICH bin nicht derjenige, der mit solchen
(potenziellen) Sicherheitslücken Unsinn anstellt. Es sind die Leute,
die nicht so nett sind, diese Lücken öffentlich zu machen, sondern
diese Lücken tatsächlich mißbrauchen, um anderen Menschen Schaden
zuzufügen.

Im übrigen gibs für Bugs den Bugtracker.

Aber dort schreibt doch gar keine solch' schönen Kommentare wie du
nun, liebster Tom-Schatz.

Gruß
Slyh