Wer erinnert sich noch an "Samy is my hero"? Analoges passiert wohl im Augenblick bei Googles Social Network Orkut: Momentan grassiert dort ein XSS-Wurm durch die Benutzerprofile.
Ich kenne Orkut de facto nicht, aber offensichtlich bietet das sogenannte "Scrapbook" die Möglichkeit, "rich content" einzustellen; Orkut arbeitet hier wohl mit einer Negativliste: Alle HTML-Tags sind erlaubt, außer denjenigen, die sich auf der Negativliste befinden. Javascript ist wohl verboten, aber laut dieser ersten Analyse kann man über eine Hilfsfunktion Flash einbinden - und Flash kann wiederum JavaScript beinhalten...
Weitere technische Informationen finden sich bei Sounds From The Dungeon.