Hallo,

XSS wird gemeinhin dann als Lücke betrachtet, wenn Code ausgeführt wird, ohne dass der *Seitenbetreiber* dies beabsichtigt hat.

Noch mal - ob du ein Script auf deiner Seite einbindest, welches meine Kreditkartendaten nach Moskau übermittelt, oder ob du, ganz ohne XSS, dort anrufst und sie selber durchgibst, macht für mich als Nutzer deiner Seite keinen Unterschied.

Es kommt allein darauf an, wie vertrauenswürdig du als Seitenbetreiber mir erscheinst.

Wenn ein Seitenbetreiber absichtlich fremden Code einbindet, dann kann er noch so vertrauenswürdig sein für den Nutzer, der fremde Code muss es deswegen noch lange nicht sein. Wenn ich Code von dir einbinde, weil du mir vielleicht vertrauenswürdig erscheinst, dann kann sich dein Code morgen ändern (oder der, den dein Code wiederum zusätzlich einbindet), ohne dass ich das als Seitenbetreiber überhaupt merke und der Nutzer meiner Seiten erst recht nicht. Fremden Code einzubinden ist deshalb per se ein Sicherheitsrisiko, und eine diesbezügliche SOP würde dagegen helfen und wäre m.M.n. auch sinnvoll.

Das Risiko besteht hier wohlgemerkt  *trotz Vertrauenswürdigkeit* und Rechtschaffenheit des Seitenbetreibers und ist daher schwerwiegender einzustufen als eins, das durch ein Upload-Feld entsteht, weil da der Nutzer ja immerhin noch zweimal die Möglichkeit hat, den Zugriff zu verweigern: 1. indem er schon bei der Sicherheitswarnung ablehnt, so dass der File-Dialog gar nicht erst erscheint und 2. indem er dann doch keinen Ordner oder keine Datei im Dialog wählt, falls er dann beschließt, mir nicht zu vertrauen.

Was für eine Logik ist das, und was für ein Verständnis von Sicherheit bzw. von Privatsphäre?

Eins, zu dem dir erstaunlicherweise immer noch die Einsicht fehlt.
(Obwohl ich langsam glaube, dass du deine Meinung nur aus Sturheit beibehältst.)

Sicher nicht aus Sturheit. Vielleicht bin ich ja wirklich zu blöd die Zusammenhänge richtig zu sehen. Vielleicht bist es aber auch du, der es nicht sieht oder einfach stur ist...

Gruß, Don P