heisec-Chefredakteur Jürgen Schmidt entdeckte zufällig beim Online-Banking, dass der Webauftritt der SEB-Bank das Einbetten fremder Inhalte auf mindestens drei verschiedene Arten ermöglichte. Ein PHP-Skript lud auch externe Web-Seiten nach, die meisten Seiten einschließlich des Logins zum Online-Banking nutzten ungeschützte Frames und viele der Web-Applikationen waren anfällig für Cross-Site-Scripting.

Er kommt zu dem Fazit, dass sich in den Webauftritt nicht etwa einzelne Fehler eingeschlichen hätten, vielmehr zeugt die Site "von kompletter Ignoranz was aktuelle Sicherheitsfragen angeht"

http://www.heise.de/newsticker/meldung/94782/from/rss09