Wer er­in­nert sich noch an "Samy is my hero"? Ana­lo­ges pas­siert wohl im Au­gen­blick bei Googles So­ci­al Net­work Orkut: Mo­men­tan gras­siert dort ein XSS-Wurm durch die Be­nut­zer­pro­fi­le.

Ich kenne Orkut de facto nicht, aber of­fen­sicht­lich bie­tet das so­ge­nann­te "Scrap­book" die Mög­lich­keit, "rich con­tent" ein­zu­stel­len; Orkut ar­bei­tet hier wohl mit einer Ne­ga­tiv­lis­te: Alle HTML-Tags sind er­laubt, außer den­je­ni­gen, die sich auf der Ne­ga­tiv­lis­te be­fin­den. Ja­va­script ist wohl ver­bo­ten, aber laut die­ser ers­ten Ana­ly­se kann man über eine Hilfs­funk­ti­on Flash ein­bin­den - und Flash kann wie­der­um Ja­va­Script be­inhal­ten...

Wei­te­re tech­ni­sche In­for­ma­tio­nen fin­den sich bei Sounds From The Dun­ge­on.