Google+ doing it right – XSS-Warnung beim Console öffnen

Nachdem Facebook ja schon (leider nur hin und wieder) eine Warnung in der Console anzeigt, zieht nun auch Google nach und packt beim Öffnen der Entwicklerkonsole (F12 in „echten“ Browsern :) ) eine Self-XSS-Warnung hinein – zumindest bei Google+ – Profilseiten:

Weiterlesen

Facebook doing it right – Warnung bei Öffnen der Konsole

Das nenn ich mal eine gute Idee! Wenn jemand die Entwicklerkonsole des Browsers öffnet, z.B. durch Drücken der Taste F12 zeigt Facebook eine Warnung an alle Nicht-Entwickler:

Facebook zeigt Warnung in der Entwicklerkonsole

Facebook zeigt Warnung in der Entwicklerkonsole mit XSS-Hinweis

Der Text in der Entwicklerkonsole:

Stopp!

Dies ist eine Browser-Funktion für Entwickler. Solltest du von jemandem gefragt werden, hier etwas zu kopieren und einzufügen, um eine Facebook-Funktion zu aktivieren oder ein Konto zu „hacken“, dann handelt es sich um Scam. Dadurch wird der Person Zugriff auf dein Facebook-Konto gewährt.

Weitere Informationen findest du auf der Seite „https://www.facebook.com/selfxss„.

Ich bin schon vor Monaten auf dieses „Feature“ gestoßen, allerdings nicht reproduzierbar – denn das wiederum ist der blöde Teil dieser Geschichte: Nach 10-maligem Probieren auf meinem Profil und dem Aufruf verschiedener Facebook-Seiten war es mir nicht möglich, diesen Hinweis direkt wieder anzuzeigen! Er wird also nicht jedesmal ausgespielt, im Gegenteil – es wird viel zu selten ausgespielt.

Seit wann gibts denn diesen Hinweis überhaupt? Diese große Welle des „Gib mal folgenden Code ein um alle deine Freunde zu Mafia Wars (oder sonst ein anderes Spiel) hinzuzufügen“ (harmlose Variante!) ist ja längst Geschichte, oder?

Die einzige halbwegs reproduzierbare Variante, um auf diesen Hinweis zu stoßen war bei mir: Identität vom persönlichen Profil zu dem einer Seite wechseln. Da ich selber einige Seiten betreue und administriere konnte ich bei ca. der Hälfte der Seiten diesen Hinweis wiederholt sehen. Das finde ich trotz guter Idee einfach zu wenig bzw. zu schlecht umgesetzt. Meiner Meinung nach sollte das IMMER in der Konsole angezeigt werden!