In einer Zeit vor Cross Site Scripting Marc Ruef | 05.03.2012 Schon früh habe ich mich angefangen für Computerviren zu interessieren. Wirklich verstanden habe ich das Konzept aufgrund meines jugendlichen Alters noch nicht, aber ich wusste, dass ich hier meine Leidenschaft der effizienten Programmierung exotischer Lösungsstrategien ausleben konnte. Diese Kenntnisse halfen mir, als ich im Jahr 1997 endlich einen Breitband-Internet-Anschluss (ich war der dritte Teilnehmer einer Pilot-Phase in der Schweiz) mein Eigen nennen konnte und mich schlagartig für Netzwerksicherheit zu begeistern begann. Sofort wollte ich eine eigene Homepage zur Dokumentation meiner Hobbies - Filme und Musik - erstellen. Eine Liste mit meinen liebsten Horror-Streifen war schnell angelegt und eine Webseite meiner Band (http://www.computec.ch/field/) ebenso. Letztere sollte überall im Internet - lange bevor MP3s den Durchbruch schafften - promoted werden. Zu diesem Zweck besuchte ich die Webseiten anderer Bands, die mir gefallen haben, um dort auf meine eigene Band hinzuweisen. Ich wollte in den jeweiligen Gästebüchern nicht nur einen langweiligen Link unterbringen, sondern ich wollte die Blicke der Besucher auf mein Post und damit meine Band ziehen. Zu diesem Zweck habe ich angefangen mit Javascript herumzuspielen. Bunte Animationen waren mein Ziel - Eine Sache, die zur Zeit von HTML 3.2 nicht einfachso umsetzbar war. Per Zufall habe ich aber herausgefunden, dass ich in vielen Gästebüchern eigene Javascript-Snippets einbringen konnte. Diese wurden beim Darstellen meines Posts angezeigt und ausgeführt. Dies war ideal, konnte ich nämlich "relativ subtil" die Leser meines Gästebuch-Beitrags dazu bewegen, automatisiert unsere Seite zu besuchen. Ich habe mit automatischen Redirects gearbeitet, die 10 Sekunden nach dem Aufrufen meines Posts einsetzen sollten. Die Hits auf unserer Webseite schnellten entsprechend in die Höhe und mein Ziel schien erreicht. Nur 1-2 Emails erreichten mich, in denen sich jemand ob meiner Dreistigkeit empört hatte. Ich konnte es ja verstehen, sah meinen Akt aber als eher harmloses Ausleben "intellektueller Anarchie" an. Ohne es zu wissen, hatte ich damals also schon Cross Site Scripting-Schwachstellen zu meinen Gunsten ausgenutzt. Es sollten noch Jahre vergehen, bevor diese Möglichkeit überhaupt als Risiko wahrgenommen und mit eben diesem Namen belegt wurde. Im Übrigen wurden sie ursprünglich mit dem Akronym CSS abgekürzt, das aber aufgrund der Verwechslung mit der gleichnamigen Technologie (Cascading Style Sheets) mittlerweile durch XSS ersetzt wurde.