Ingen inputvalidering: Kommunalpolitikere kunne lægge egne scripts på DR's hjemmeside

DR.dk giver kandidater til kommunalvalget mulighed for at besvare en række spørgsmål med tekst. Men en ung kandidat opdagede, at man faktisk kunne uploade hvad som helst - også kode - og dermed ændre websiden.

De mange kandidater til kommunal- og regionsvalget i november har indtil fredag eftermiddag haft frit spil til at peppe deres kandidatsider hos DR.dk op.

På DR’s hjemmeside kunne alle kandidaterne nemlig uploade lige, hvad de har lyst til - også scripts og anden kode. Det var muligt via oplysningsportalen 'kandidatmatch', som Danmarks Radio laver i samarbejde med Altinget. Her kan kandidaterne uploade CV, skrive en tekst om deres mærkesager og få lagt links ind til sociale medier, så man som borger kan blive klogere på dem, inden man sætter sit kryds.

Systemet fungerer på den måde, at kandidaterne får sendt et link fra Altinget, der leder dem videre til en side med svarbokse, som det er meningen, at de skal udfylde med rene tekstkarakterer. Men Emil Blücher, der er kandidat for Venstre, har taget det et skridt videre. Han har eksempelvis lagt javascript ind, så han kunne ændre farven på siden. Han har også indlejret en video, og det undrer ham, at det kan lade sig gøre.

»De tager bare mit indhold helt ukritisk. Først forsøgte jeg, om jeg kunne klemme et link ind i teksten. Det kunne man godt, og så prøvede jeg mere og mere. Til sidst havde jeg stylet min side med et script, så den fik blå baggrund. Jeg kunne også fjerne alle de artikler, der lå under den boks, jeg kunne lægge indhold i,«, siger Emil Blücher til Version2.

At besøgende på hans kandidatside hos DR.dk mødte et lidt andet design, er jo ikke i sig selv alvorligt, men Emil Blücher er ikke imponeret over, at der ingen inputvalidering var, da det åbner for misbrug.

»Jeg vil ikke kalde det hacking, men det kan misbruges, hvis du bruger det på en mere creepy måde, end jeg har gjort. Hvis en fusker får adgang, kan han lægge, hvad han vil, ind på DR.dk. Man kunne eksempelvis sagtens lægge popup-vinduer ind, hvor der stod, at man skulle klikke videre til en anden side, og på den måde lokke virus ned i folks computere«, siger Emil Blücher.

Ifølge Danmarks Radio var der tale om en systemfejl, der er blevet rettet efter Version2's henvendelse.

»Det er et kontrolsystem, der har været nede. Altinget sender normalt karakterer til os, og der er et system, der tjekker, at der ikke er scripts og andet i. Jeg ved ikke, hvorfor vi ikke selv har fundet fejlen. Det plejer at virke, og det gør det også nu,« siger Anders Kappel fra DR Medier til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Ove Andersen

Men dette giver da bedre pr.

Og det viser, at der faktisk findes én politiker i danmark, som ved hvordan man sætter en baggrund på en hjemmeside. Troede ellers ikke disse fantes. Så er der måske alligevel håb derude..

  • 7
  • 4
#3 Benni Bennetsen

Tja, meget uskyldigt og er jo lukket side, så kan ikke rigtig misbruges af andre end udvalgte personer.. Fint nok med lidt gratis omtale, tvivler nu på han er ordfører for noget, han er kun 20 år og det er jo lokalpolitik vi taler.. Men held og lykke med det, hvis du bliver valgt ind kan du jo fint starte med at kigge på kommunernes egen sikkerhed, de er jo også berømte for deres input validering.

  • 0
  • 4
#5 Jens Jönsson

Nu arbejder Emil Blücher jo med søgemaskineoptimering, så tror I ikke han har fået lagt link ind til egne sider, så de får mere værdi i Google's søgninger, når nu linket kommer fra en højtagtet side, som DR's ? Alternativ linkbuilding ?

  • 2
  • 0
Log ind eller Opret konto for at kommentere