Säkerhetshål på hd.se

Javascript rakt in på hemsidan är dum ide.

Igår kom jag in på ett inlägg hos Mindpark där Joakim beskrev att Helsingborgs Dagblad integrerat en widget som hämtar recept från hittarecept.se Nyfiken som jag var testade jag den lite snabbt och insåg att den var nog lite väl bristfälligt.

Som alla utvecklare vet ska man validera indata som kommer från användare. Detta saknades helt och hållet, ett av de mest grundläggande säkerhetsfel man över huvud taget kan göra på en webbsida. Sidan var alltså helt sårbar för både phising och cross site scripting, inget bra alls.

22:39 skickade jag ett e-postmeddelande till Christer Klingborg, samordnande IT-chef för Helsingborgs Dagblad AB och Nya Wermlands-Tidningens AB, där jag berättade om bristen. Hade inga högre förväntningar eftersom jag gjort likadant när jag fann ett säkerhetshål gp.se 30 minuter senare fick jag ett svar.

Tack för ditt mail!
Jag skall ta upp saken med de som är ansvariga för HD:s webbsidor!

Helt otroligt tänkte jag, sjukt snabb respons sent på kvällen och dessutom ett tack, något Göteborgs-Posten inte gjorde. Dagen efter fick jag ännu ett e-postmeddelande, denna gång av den teknisk ansvariga för hemsidan (antar jag) där han berättade att hittarecept.se kontaktats och att de skulle lösa felet.

En kort stund senare fick jag ännu ett e-postmeddelande om att felet var löst och ännu ett tack. Sist men inte minst blev jag kontaktad av Christer som återigen tackade och skulle skicka en liten uppskattning för hjälpen. Nu handlar inte mitt inlägg om att jag fick en sak av hd.se och inte gp.se utan snarare om bemötandet.

Nu önskar jag lycka till med Sveriges snyggaste widget och stor eloge till berörda hos hd.se

2 reaktioner på ”Säkerhetshål på hd.se”

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *