Десятки тисяч відеороликів на YouTube стали жертвою дірки в безпеці цього відосервіса. Будь-який користувач ввівши в тексті коментаря нескладний скрипт на сторінці перегляду відеоролика може повністю заблокувати можливість коментувати іншим користувачам.
Окрім блокування чужих коментарів, є також можливість форматувати свої коментарі в будь-якому вигляді – змінюючи колір, розмір шрифту, фон і т.д. Нагадаємо, що по замовчуванню всі коментарі в YouTube мають однаковий вигляд.
Оскільки коментар зі шкідливим вмістом розмістити доволі легко і охочих перевірити дуже багато – багом за останні 2 години скористались десятки тисяч людей.
Найпопулярніші приклади застосування бага:
після введення такого коментаря, при вході на сторінку перегляду відео, всі користувачі бачитимуть випадаюче вікно з будь-яким текстом (в даному випадку Test)
такий коментар буде у вигляді червоного біжучого рядка
На цьому відео видно наслідки після введення двох вищенаведених коментарів:
такий коментар повністю заблокує перегляд інших коментарів та весь правий сайдбар
Однією з найбільших проблем застосування саме такого скрипта - відсутність можливості у користувача, який розмістив відео, видалити зловмисний коментар.
YouTube поки що ніяк не відреагував на проблему.
Upd.: Станом на 18.00 (київський час) YouTube виправив проблему - у коментарях автоматично видалилось слово script, що звело шкідливість коментарів до нуля.
Цікаво, що активне використання діри в безпеці YouTube почалось, коли в США була 7-8 ранку. І важливо, що це 4 липня - одне з найбільших свят в цій країні. Тому очікувано була трохи запізніла реакція з боку адміністраторів відеохостингу.
