Door Anoniem: @Choi: Ik krijg het advies om mijn wachtwoord te wijzigen... maar dan kan degene die mijn Yahoo account of browser gekaapt heeft dit toch ook zien? Heeft wachtwoord wijzigen dus wel zin? Mvg, Guuido Ja, het heeft in mijn optiek wel zin. Voor zover mijn kennis strekt heeft de aanvaller in het geval van XSS/CSRF niet zonder meer toegang tot je account. Er moet aan een aantal voorwaarden worden voldaan; je dient tegelijkertijd te zijn ingelogd op de kwetsbare webapplicatie en de aanvals-site om de aanvaller in eerste instantie toegang te verschaffen. Het is nl een sessie-hijack met de mogelijkheid dat de kwetsbare web-applicatie je inlog-gevens blootstelt aan de aanvaller (waardoor hij ook na de sessie toegang tot je account heeft); de eerste on-geautoriseerde toegang duurt zolang als de ingelogde sessie duurt (en ik ken mensen die hun sessie nooit afsluiten), tijdens welke de aanvaller je adressenboek plundert en je contacten spamt met het adres van de aanvals-site enz enz. De aanvaller ...