YouTube má zajímavou chybu, která vzdáleně připomíná praktiky XSS – Cross-site scripting. V rámci XSS útočník zneužije (nebo ještě lépe řečeno využije) javascriptový kód na cílových stránkách, který pak ve vašem prohlížeči vykreslí třeba něco úplně jiného, než autor stránek zamýšlel.
XSS je nejjednodušší „hackerskou“ metodou, která je často zneužívána třeba při útocích na webové stránky politických stran. Oběťmi se nedávno staly weby španělského předsednictví i stránky ČSSD.
„Tak-trochu-XSS“ můžete ochutnat i na YouTube. Webovým stránkám přitom nemusíte posílat „zákeřný“ javascriptový kód – stačí pouze trošku pozměnit webovou adresu.
A oč se jedná? Největší videoportál na světě kupodivu nemá ošetřenou příslušnost dílčích videí k jejich autorům, změnou URL tak snadno docílíte, že se na uživatelském profilu X zobrazí video od uživatele Y.
A vznikat z toho nakonec mohou podobné vtípky jako třeba na obrázku níže, kde je názorně zakresleno, co je třeba udělat k malému a neškodnému podvodu.
Jak na to?
Navštivte libovolný profil/kanál na YouTube a spusťte z postranního panelu video. Nyní se podívejte na WWW adresu a zaměňte původní ID videa na konci adresy za jiné ID. Podívejte se na příklad v obrázku níže.
Původní adresa videa na profilu CNN International tedy bude mít třeba tuto adresu:
http://www.youtube.com/user/CNNInternational#p/u/0/D8SstJ-TWmQ
Všimněte si spleti znaků (ID videa) na konci adresy a zaměňte jej třeba za ID videa posledního Týdne Živě. Nová adresa tedy může vypadat třeba takto:
http://www.youtube.com/user/CNNInternational#p/u/0/0NMyJP8Qd0s
Pokud nyní navštívíte novou adresu v prohlížeči, spustí se sice YouTube a vykreslí se design kanálu CNN International, namísto původního videa se ale vloží naše video z profilu ZiveCz a tedy poslední Týden Živě.
Profil sice patří americkému prezidentskému úřadu, spustí se ale video s Homerem
Vývojáři z Ubuntu komunity mají rádi Steva Ballmera
A pokud ne, snadno jim v tom pomůžete změnou URL
Týden Živě rázem získal exkluzivní podporu ze strany prezidentského úřadu USA a Googlu
Nejvíce nás ale nakonec potěšila podpora ze strany Vatikánu a samozřejmě i zmínka na CNN