*Über die unsichere Kommentarfunktion der `Badischen Zeitung <http://www.badische-zeitung.de/>`__ lässt sich beliebiger HTML-Code einfügen.*

Ein netter Service der Badischen, dass man seine Kommentare beliebig gestalten kann - doch da alle HTML-Tags erlaubt sind hat man weit mehr Möglichkeiten als reine Textgestaltung.

Zu den harmlosen Scherzen gehört die Übernahme von Kommentaren. Theoretisch ist es jedoch Möglich per Javascript alles was das Hackerherz begehrt nachzuladen. Der Nutzer hätte aber keine Möglichkeit dies zu erkennen, da der Urheber immer die vertrauenserweckende Zeitung aus Freiburg ist. Unverständlich warum diese Lücke nicht schon längst gecshlossen ist. DVaulonthat nach eigenen Angaben den Verlag schon vor einem halben Jahr darauf hingewiesen und als Reaktion kam einfach gar nichts. Umso konsequenter ist es, dass er die Lücke veröffentlicht hat. Hoffentlich wird sie möglichst bald geschlossen, denn so etwas ist schlicht fahrlässig!

Update: Das Problem scheint zumindest kurzfristig behoben zu sein. Warum nicht gleich so? Das zeigt, dass eine Lücke immer veröffentlicht werden muss bevor was passiert