Разработчикам хабра — позор! Сайт работает не один год, но до сих пор нормально не сделали безопасный вывод контента! Ни экранизации символов, ни очистки HTML'а от «вредных примесей»!
Хорошо ещё, что
бесятся находятся такие ребята, как
Satana, привлекая внимание к проблеме. А ведь всё может быть серьёзнее. Не удивлюсь, если скоро выяснится, что некоторые ушлые парни уже давно втихаря эксплуатируют разные уязвимости хабра на широкой аудитории. Например, строят
бот-сети из нас с вами.
Извините за резкость, но это — неуважение посетителей. Так можно и доверие к сайту потерять.
P.S. Оправдываться тем, что «скоро выйдет новая версия» — глупо. Представьте, если бы Micrsoft прекратил выпускать критические обновления к Windows XP, мотивируя это тем, что «скоро выйдет Vista»?! Может и выйдет, но всякие «кул хацкеры» эксплуатируют хабр прямо здесь и прямо сейчас. Вы уверены, что ваш браузер не имеет ни одной уязвимости? Я — нет. Хотя и пользуюсь последним Firefox в убунте и ставлю все обновления.
Upd: Всем, кто считает, что про бот-сети я сгущаю краски, советую набрать в гугле фразу «Internet Explorer CSS vulnerable». Вот, например, уязвимость
(MS07-033) Microsoft CSS Tag Memory Corruption Vulnerability от 12.06.2007, с замечательным описанием «A vulnerability in Microsoft Internet Explorer may allow for remote code execution.
A user would have to visit a malicious Web site or open a HTML e-mail attachment for an attack to occur.» В гугле такого добра ещё много, попробуйте заменить «CSS» на «PNG», «GIF», «JavaScript» и всякие другие умные слова :) Надеюсь, у всех стоит лицензионная винда со всеми обновлениями? ;)