La liste blanche secrète de Microsoft Edge permet à Facebook d'exécuter Flash
En clair, parmi ces sites, plusieurs présentaient des vulnérabilités XSS (cross-site scripting) non colmatées. Une vulnérabilité de type Cross Site Scripting, injection de code indirecte en français, est exploitable sur les serveurs web ou sur les applications web qui publient du texte fourni par le visiteur sans l’avoir filtré. Un utilisateur malintentionné peut, en utilisant cette vulnérabilité, insérer du code dans une page HTML renvoyée dynamiquement par le serveur. Ce code est généralement écrit dans un langage de script (par exemple JavaScript ou VBscript) qui est interprété par le navigateur de la victime. Ce code peut, à son tour, être utilisé pour charger du contenu Flash exploitant des bogues dans le lecteur Flash. En outre, un certain nombre de sites ne prennent pas en charge les connexions sécurisées, ce qui signifie qu'il serait facile de manipuler leur trafic de manière similaire pour injecter du contenu Flash hostile. La liste blanche Le problème signa