Добрый день всем.
Есть бета версия чата, которого хотелось бы проверить на вшивость. Интересует аспект безопасностьи и юузабельность.
Чат полностью написан на ajax/javascript(фронтенд) и пхп(бакенд) без использования скула.
Вес трафик по направлению клиент-сервер-клиент шифруется национальным алгоритмом сша - ДЕСом. Так что сниф автоматом отпадает.
Фреймов нет, XSS тоже наврятле..
Хотелось бы услышать профессиональное мнение(если таковое есть) в этой теме.
з.ы. Адресс чата в заголовке темы.

XSS тоже наврятле..

Поля ICQ UIN и Сайт при редактировании уже зарегестрированного юзера успешно переваривают
"><script>alert("XSS :)!")</script> ,
и выдают алерты, так что XSS есть, причем активная.

и выдают алерты, так что XSS есть, причем активная.

XSS тут даже не пахнет - не активной не пасивной.
Если повторно запросить информацию с сервера - все будет в первозданном виде.
Темболе что все опасные теги режутсья еше на падлете.
К тому же от xss мало пользы тк не хеш пароля не тем более сам пароль не хранятсь
в куках, только ид сессии да и та превязанна к ip.