[о чем?]
В последнее время все больше и больше говорят о том что эта уязвимость себя изжила, что она не опасна, бессмыслена наконец и поэтому нет смылса обращать на нее пристальное внимание, в.т.ч и администраторм. Одним словом некоторый контингент говорит о том что XSS сечас не являеться реальной угрозой!
Однако такие суждения как : не опасна, ничего им не сделаешь и.т.п на фоне происходящего выглядят как бы немного самонадеянными, если не сказать грубее. То что XSS очень опасная атака, спомощью которой можно, как завладеть куками юзера на портале платной музыки, так и выполнить код на компьютере жертвы, а так же приимущества и способы реализации XSS были показаны такими людьми как Zadoxlik, Ls01r, и другими представителями хак-фронта. Я даже не говорю о том насколько опасны активные XSS. Почему же при всех этих несомненных приимуществах XSS находяться люди(причем порой достаточно авторитетные) которые считают эту уязвимость вчерашним днем?
[main]
В февральском номере журнала Хакер. Спец(кстати последнего выпуска журнала). По этому вопросу был опрошен ряд авторитетных людей, собственно вопрос звучал так:
Xss- реальная угроза или слабое место пофигистов?

Валерия Комиссарова:На мой взгляд, проблема XSS достаточно серьозна и распространена, чтобы не принимать ее во внимание. И масштабы этой "эпидемии" заставляют говорить об XSS как о значительной, а не об очередной PR-придумки

Михаил Фленов:Сверхугрозой я бы эту атаку не назвал.<...>Все это невнимательность или ламерство програмистов<...>.

Антон Карпов: Любая проблема безопастности возникает под действием человеческого фактора<...> Учитывая растущую популярность XSS-атак я бы не назвал это слабым местом пофигистов, во всяком случае, тогда бы нам пришлось признать, что пофигистов в мире очень и очень много =)

Крис Касперски:<...>В лучшем случае, злоумышленник получает доступ к кукисам(хранящим массу конфиденциальной информации). В худшем же-полностью захватывает управление удаленной машиной. Это вполне серьозная угроза, с которой необходимо считаться.

Вот собсвенно такого мнения предерживаються господа с весьма весомым именем в сети. Лично мне больше всего близка позиция Криса Касперски.
Однако я не стал замыкаться на своем мнение и провел опрос среди людей с которыми я общаюсь в ICQ. Вопрос я поставил следующим образом: Считаете ли вы XSS фактически бесполезной уязвимостью. Итог: 11\7 в пользу XSS =). Но все же чуть меньше половины опрошенных отвернулись от межсайтового-скриптинга. Один из опрошенных высказал очень правельную мысль: что любой уязвимостью надо ументь грамотно распорядиться и тогда она превращаеться в очень серьозную угрозу, я склонен с ним согласиться, ведь, на мой взгляд, отсюда и все проблемы: из-за недостаточного понимания уязвимости, нежелания ее изучить и возникают такие суждения: мол, я не знаю этой баги, значит она бесполезна, значит и защищаться от нее не надо. Но этот подход в корне неправельный.
Кстати классическим примером такого отношения к сути дела стал администратор сервиса РОЛ, который даже после того как LS01r написал статью и даже СНЯЛ ВИДИО!!! про использовании XSS на его портале не закрыл ни одну из сущетвующих баг! Например одна из них:
[итого]:
В итоге, уважаемые Античатовцы, я бы хотел задать вопрос вам: Считаете ли вы XSS реальной угрозой или полагаете что эта бага почти бесполезна? Прошу вас не давать односложных ответов, а аргументровать вашу позицию.

P.S Выражаю благодарность всем принявшим участие в моем опросе, журналу Хакер. Спец. Помните, что это не более чем мое и впоследствие ваше субьективное мнение. Спасибо за внимание

__________________

з.ы http://www.youtube.com/watch?v=sNsQe0KByRY Я ПлакалЪ