
German: 
Auf Twitter gab es vor kurzem einen sich selbst multiplizierenden Tweet,
der niemals hätte enstehen dürfen. Das gehört zum kleinen 1x1 der Sicherheit im Internet.
Wenn man keine Ahnung davon hat, sollte man keine komerziellen Websiten entwickeln.
Und doch sind wir hier!
Und 10,1 Millionen BBC Breaking News Fan haben soeben ein kleines rotes Herz gesehen.
Wie funktioniert es also?
Das Web basiert auf HTML.
HTML ist eine Tag-basierte Sprache.
Also, wenn ich das in den Quellcode einer Website eingebe,
und das am Ende,
dann wird alles zwischen diesen "Tags" fettgedruckt erscheinen.
"B" = bold (en. fettgedruckt)
Natürlich ist das hier alles stark vereinfacht, allerdings sind das etwa die Grundlagen.
Man kann einen "I"-Tag für kursiv
und alle möglichen komplizierten Tags fürs Design, Layout und den Stil einer Website nutzen.
Und dazu gibt es einen speziellen Tag, namens "script".
"Script" ist besonders. "Script" bedeutet: 'Alles hierzwischen soll dem Nutzer nicht gezeigt werden'
Es ist also kein sichtbarer Text
Es ist kein Bild. Es ist Programmcode.

English: 
Twitter have just had a self-retweeting tweet,
which should never have happened. I mean, this is web security 101.
If you don't know this stuff, you shouldn't be designing commercial web pages.
And yet, here we are,
And 10.1 million BBC Breaking News fans have just seen a little, red, love heart.
So how does it work?
Well, the web is built on something called HTML.
HTML is a tag-based language.
So, if I write that, in the source code of a web page,
and then, that, at the end,
everything between those "tags", as they're called, will appear in bold.
"B", for bold.
I mean, I'm over-simplifying massively here, but, that's roughly the basics.
You have an "I" tag for italics,
and you have all sorts of complicated tags for design, and layout, and styling.
And you also have a special tag, called "script".
"Script" is special. "Script" says, what's between here, shouldn't be shown to the user, at all.
It's not text to be seen.
It's not an image. It's programming code.

Dutch: 
Twitter heeft net een zelf-retweetende tweet,
wat nooit had mogen gebeuren, ik bedoel, dit is webveiligheid regel 1.
Als je dit soort dingen niet weet, zou je geen commerciele webpagina's moeten ontwerpen.
En desondanks zijn we hier
En 10,1 miljoen BBC Breaking News fans hebben zojuist een klein, rood, hartje gezien.
Dus hoe werkt het?
Het web is gebouwd op iets genaamd HTML.
HTML is een label-gebaseerde taal.
Dus als ik dat schrijf in de broncode van een webpagina,
En dan dat aan het einde
Alles tussen die "tags", zoals ze genoemd worden, zal vetgedrukt worden.
"B", voor het Engelse 'bold'
Ik bedoel, ik vereenvoudig gigantisch nu, maar dat is ongeveer de basis.
Je hebt een "i" label voor cursief,
en je hebt allerlei soorten ingewikkelde labels voor ontwerp, uitlijning en stijl.
Er is ook een speciale tag genaamd "script"
"Script" is speciaal. "Script" betekent: Wat hiertussen staat, mag niet aan de gebruiker worden getoond.
Het is geen tekst om te bekijken.
Het is geen afbeelding. Het is programmacode.

Spanish: 
Twitter acaba de tener un tweet que se auto-retweeteaba,
algo que no debió haber pasado. Quiero decir, esto es lo más simple de la seguridad de la web.
Si no sabes esto, no debes de estar diseñando páginas web comerciales.
Y aun así, aquí estamos.
Y 10.1 millones de fans de "BBC Breaking News" acaban de ver un pequeño corazón rojo
Entonces, ¿cómo funciona?
Bueno, la web está construida en algo llamado HTML.
HTML es un lenguaje basado en etiquetas.
Así que, si escribo eso, en el código fuente de un sitio web,
y luego eso, al final,
todo entre las "etiquetas" aparecerá negrita.
"b" para "bold". (Negrita en inglés)
Claro que, estoy simplificando bastante,
pero eso es lo básico.
Hay una etiqueta "i" (italics) para cursiva,
y tienes todo tipo de etiquetas complicadas para diseño, formato y estilo.
También hay una etiqueta especial llamada "script" (guión).
"Script" es especial, "script" dice, que lo que se ponga en medio, ni siquiera debería ser visto por el usuario,
No es texto para ser visto.
No es una imagen. Es código de programación

Russian: 
В Твиттере недавно появился твит, который сам себя рассылает,
чего не должно быть, в смысле, это же основы интернет-безопасности.
Если ты не знаешь ничего про это, ты не должен делать общественные веб-страницы.
Однако, кто-то всё таки сделал ошибку,
и 10.1 миллионов подписчиков Экстренных Новостей BBC увидели просто маленькое, красное, сердечко.
Но как этот твит работает?
Интернет работает на такой вещи, называемой HTML.
HTML - язык, основанный на метках.
И если я в веб-странице на HTML введу  в начале страницы,
и  на её конце,
то всё между этими метками будет написано жирным текстом.
Тэг  обозначает жирный текст.
Я очень сильно упрощаю как всё работает, но, в основном всё работает именно так.
Ещё есть метка  для наклонного текста,
и много других сложных меток разных видов для дизайна, размещения и определения стиля.
А ещё есть метка, называемая .
 - специальная метка.  говорит о том, что всё в пределах этой метки, не должно быть показано пользователю вообще.
Это не текст для чтения,
это не картинка, а программный код.

Portuguese: 
O twitter acabou de ter um tweet que se auto retwitava
O que nunca deveria ter acontecido.
Eu quero dizer que isso é uma das coisas mais básicas em segurança web
Se você não você não sabe disto
Você não deveria fazer websites profissionalmente
Porém, aqui estamos nós
e mais de 10.1 milhões de seguidores da BBC breaking news (Canal de notícias)
acabaram de ver um pequeno coração vermelho em um tweet
Então, como funciona ?
Bem a web é construida em cima de uma coisa chamada HTML
HTML é uma linguagem baseada em tags
Então se eu...
Escrever isto no código fonte de uma página...
e depois isto no final
Tudo que estiver entre essas "TAGS". É assim que são chamadas
Irão aparecer em negrito "b para bold que significa negrito"
Bom eu estou simplificando muito mesmo, mas isso é o basico
você tem a tag  para itálico e
também tags mais complicadas para layout, tamanho, design e tamanho
E também uma tag especial... chamada 
O script é especial
o script significa :  o que estiver aqui dentro. Não deve ser mostrado ao usuário
Não é como um texto que possamos ver. Nem uma imagem
É um código de programação (Javascript)

Chinese: 
推特上刚刚出现了一个自我转推的推文，
而这本不应该发生。我是说，这是网络安全的最基本的一项。
如果你还不知道这个的话，你不应该设计商业网站。
然而它出现了，
1010万BBC特大新闻的粉丝只是看到了一个小小的红色的爱心。
那么它是如何运作的？
网页是用HTML搭建而成。
HTML是一个基于标签的语言。
所以说，如果我在源代码里写这个，
然后在结尾写这个，
那么这两个“标签”之间的所有东西都会是加粗的。
B表示Bold（加粗）。
我是在过度简化这个机制了，但是这差不多是基本的原理。
除了B标签之外，还有I标签是斜体（Italics），
还有其他各种复杂的标签用来设计和排版。
还有一个特殊的标签叫做Script（脚本）。
Script是个特殊的标签。它的意思是，凡是这里边的文字都不应该显示给用户。
这不是要显示的文字。
这也不是图片。这是程序语言代码。

Polish: 
Na Twitterze znajdował się samo-udostępniający się tweet,
który nie powinien w ogóle mieć prawa zaistnieć. Mam na myśli, to jeden z najważniejszych elementów bezpieczeństwa sieciowego.
Jeśli się na tym nie znasz, po prostu nie powinieneś się zajmować komercyjnymi stronami internetowymi.
Mimo tego, stało się to,
i 10.1 milionów fanów BBC Breaking News widziało tylko małe, czerwone serduszko.
Więc jak to działa?
Internet jest zbudowany na czymś nazywanym HTML.
HTML to język znacznikowy.
Jeśli wpiszę to z kodzie źródłowym strony,
a potem to, na końcu,
wszystko między tymi znacznikami, będzie pogrubione.
"B" jak "bold" (ang. pogrubienie).
To znaczy, zbyt to upraszczam, ale to w przybliżeniu podstawy.
Masz tag "I" (ang. italic) dla pochylenia,
i masz wiele rodzajów skomplikowanych znaczników dla designu, układu, stylu.
Jest też specjalny tag, .
"Script" jest specjalny. "Script" oznacza, to co jest pomiędzy tym, nie może zostać pokazane użytkownikowi.
To nie tekst do pokazania.
To nie obrazek. To kod programistyczny.

French: 
Twitter vient de subir un tweet auto-retweeteur,
chose qui ne devrait jamais avoir eu lieu. Je veux dire, c'est le B.A-BA de la sécurité web.
Si vous n'y connaissez rien, vous ne devriez pas faire des pages web commerciales.
Et pourtant, on y est.
Et 10,1 millions de fans de BBC Breaking News ont juste vu un petit cœur rouge.
Alors comment ça marche ?
Ben, le web est construit avec un truc appelé HTML.
Le HTML est un language de marqueurs.
Donc si j'écris ceci dans le code source d'une page Web,
et puis cela à la fin,
tout ce qui est écrit entre ces "marqueurs", c'est leur nom, sera en gras.
'B' pour gras ("bold" en anglais)
Bon, là je simplifie les choses à mort, mais c'est en gros la base.
On a le marqueur 'I' pour Italique,
ainsi que plein de marqueurs compliqués pour l'apparence, le rangement et le style.
On a aussi un marqueur spécial, "script".
"Script" est spécial. 'Script' signifie « Tout ce qu'il y a ici, l'utilisateur ne doit pas le voir. »
Ce n'est pas du texte à voir.
Pas une image, non plus. Du code de programmation.

French: 
C'est un truc dont le navigateur - Firefox, Chrome, Internet Explorer - se charge.
Mais il y a une règle très importante,
et c'est le moyen d'éviter une attaque appelée "Cross-site scripting".
Si vous avez un champ dans lequel l'utilisateur écrit,
même si c'est, disons, une boîte de recherche,
il ne faut jamais, au grand jamais
renvoyer ce que l'utilisateur a écrit.
Car je pourrais écrire un marqueur "b" dans Google, par exemple. On va dire que c'est une boîte de recherche Google.
J'écris un marqueur "b" et ne le ferme pas,
Google, dans le pire des cas, me renvoie cela,
et soudain, dans tout ce qui se trouve après le texte "Résultats pour 'Hello' :"
le marqueur "b" n'apparaît pas. Ce marqueur dit juste
« Mets tout en gras » et ça se produit.
Le reste de la page apparaît en gras, et c'est foutu.
Le danger, le vrai danger, est quand je peux écrire ceci dans ce champ :
"Script".
Car à cet endroit, si on ne filtre rien,
si on prend tout ce qu'il y a dans ce champ de recherche,
ou ce tweet, par exemple,
et qu'on le renvoie, alors ce marqueur va apparaître sur la page,

Chinese: 
这是你的网页浏览器——火狐，Chrome，IE浏览器——应该运行的代码。
但是有一个非常重要的规则，
这是防止跨站脚本攻击的方法。
如果你有一个文本框，
哪怕是像搜索框一样的东西，
你都绝对，绝对，绝对不能
把文本框里的东西原封不动扔回去。
因为，比方说，我可以在谷歌的搜索框里输入B标签，
然后我没有关闭这个标签，
谷歌在最坏的情况下把这些东西原封不动扔回来，
然后突然在“你搜索了Hello”之后——
那个B标签并不显示，只是表示
“让文字加粗”，然后文字就会加粗。
于是整个网页后半部分就都被加粗了，这样毁了这个网页。
真正危险的事情是，我可以在这个文本框里输入：
Script （脚本）。
因为如果你没有设置过滤
就把我在文本框里输入的文字，
比方说那个推文里的文字，
原封不动地扔回去的话，这个标签会出现在网页里，

Portuguese: 
é algo que o navegador (firefox, chrome, internet explorer) deve rodar
Porém existe uma regra, uma regra muito importante
e é como prevenir um ataque chamado Cross Site Scripting (XSS)
Se você tiver uma caixa, onde o usuário digita
mesmo que seja uma caixa de pesquisa
você nuca, nunca mas nunca mesmo
só mandar de volta o conteúdo da caixa
porque eu posso escrever uma tag  ali
e dizer : google  vamos dizer que é a caixa de pesquisa do google
Eu digitei uma tag 
e não fechei ela
o google, no pior dos casos
irá mandar de volta para mim a
e fazer tudo depois dela incluindo o que você pesquisou
por exemplo Olá
Aquela tag  não vai aparecer
ela simplesmente diz faça tudo depois de mim ficar em negrito
e tudo irá ficar realmente em negrito
a coisa perigosa, a coisa realmente perigosa é
quando eu digitar naquela caixa...

porque nesse ponto
se você não está filtrando a saida, se você está pegando o que eu digitei na caixa de pesquisa
Naquele tweet, por exemplo
e só mandar de volta
então aquela tag, vai aparecer na página

Spanish: 
Es algo que el navegador - Firefox, Chrome,
Internet Explorer - debe ejecutar.
Pero hay una regla, una regla muy importante,
y es cómo evitar un ataque llamado
"Cross-Site Scripting"
Si tienes una caja, en la cual el usuario escribe algo
Incluso si es como una caja de búsqueda
nunca, nunca, nunca jamás
repites en plano lo que ponen.
Porque yo podría escribir una etiqueta "b" en, por decir, Google, digamos que esto es búsqueda Google.
Escribo una etiqueta "b", y no la cierro,
Google, en el peor de los casos, me lo repetiría de vuelta,
y de repente, todo después de donde dice "Buscaste resultados para 'hola'."
Esa etiqueta "b" no aparece. La etiqueta "b" solo dice,
"Que todo esté en negritas", y lo será.
Y el resto del sitio web aparece en negritas. Lo arruina.
Lo peligroso, lo realmente peligroso, es que puedo escribir lo que quiera en esa caja,
"Script."
Porque en ese punto, si no estas filtrando lo que sale,
Si estás tomando lo que sea que
pongo en esa caja de búsqueda,
en ese tweet, por ejemplo,
y sólo lo envías de vuelta, entonces esa etiqueta va a aparecer en el sitio web,

German: 
Also Code, den euer Browser - Firefox, Chrome, Internet Explorer - ausführen sollte.
Allerdings gibt es eine sehr wichtige Regel
um eine Attacke namens Cross-Site Scripting zu verhindern.
Wenn du eine Box hast, in die der Benutzer etwas eingeben kann
selbst z.B. eine Suchbox,
dann gibst du niemals, wirklich niemals
nur das wieder was der Benutzer eingegeben hat.
Weil man einen "b" tag eingeben könnte, z.B. in der Google Suchleiste
Würde ich einen "b" tag eingeben und nicht schließen,
würde Google, im schlimmsten Fall, genau das wiedergeben
und plötzlich wird alles nach deinem Suchbegriff, z.B. "Hallo".
Das "b"-Tag taucht nicht auf. Es befiehlt nur:
"mach alles fettgedruckt" und es geschieht.
Der  Rest der Webseite wird in Fettgedruckt erscheinen. Und das macht sie dann kaputt
Das gefährliche daran, das wirklich gefährliche daran ist, wenn ich in die Box folgendes eingeben kann:
"Script."
Denn zu dem Zeitpunkt, wenn die Ausgabe der Box nicht gefiltert wird,
wenn das, was in das Suchfeld eingegeben wird,
zum Beispiel einen tweet
nimmt und es einfach nur zurück schickt, dann wir der Tag in der Website erscheinen

Dutch: 
Het is het ding dat de webbrowser - Firefox, Chrome, Internet Explorer - moet uitvoeren.
Maar er is een regel, een heel belangrijke regel,
en daarmee kun je een aanval genaamd 'Cross-Site Scripting' voorkomen.
Als je een veld hebt waar de gebruiker iets in typt,
ook al is het iets zoals een zoekbalk,
mag je nooit, ooit, ooit
een echo geven van wat er ingevoerd was.
Want ik zou een 'b' tag in kunnen typen in, bijvoorbeeld Google's zoekbalk.
Ik type een 'b' tag in, en dan sluit ik het niet af,
Google zou, in het ergste geval, dat terug kunnen sturen naar mij,
en dan opeens, alles na dat, waar staat "Je zocht naar 'Hallo'."
Die "b" tag is niet zichtbaar. Die "b" tag betekent alleen:
"Maak alles vetgedrukt," en dat doet het.
De rest van de webpagina wordt vetgedrukt weergegeven. Helemaal verpest.
Het gevaarlijke, het erg gevaarlijke is, als ik in dat veld het volgende kan typen:
"Script."
Want op dat moment, als je de output niet filtert,
Als je wat het ook is wat ik in dat zoekveld invoer,
In die tweet bijvoorbeeld,
en je stuurt het terug, dan verschijnt die tag in de webpagina,

English: 
It's stuff that the web browser - Firefox, Chrome, Internet Explorer - should run.
But there is a rule, a really important rule,
and it's how you avoid an attack called Cross-Site Scripting.
If you have a box, that the user types in,
even if it's something like a search box,
you never, ever, ever,
just echo back what they put in there.
Because I could type in a "b" tag into, say, Google, let's say this is Google's search box.
I type in a "b" tag, and then don't close it,
Google would, in the worse case, echo that back to me,
and suddenly, everything after that, where it says "You searched for 'Hello'."
That "b" tag doesn't appear. That "b" tag just says,
"Make everything bold," and it will.
The rest of the web page appears in bold. Ruins it.
The dangerous thing, the really dangerous thing, is when I can type in that box,
"Script."
Because at that point, if you're not filtering that output,
If you are taking whatever I put in that search box,
in that tweet, for example,
and you're just sending it back, then that tag is going to appear in the web page,

Polish: 
To coś, co przeglądarka - Firefox, Chrome, IE - powinny uruchomić.
Ale jest zasada, bardzo ważna,
i jest to jak uniknąć ataków typu Cross-Site Scripting (XSS).
Jeżeli masz pole, w którym użytkownik pisze,
nawet jeżeli to jest coś jak pole wyszukiwania
nigdy, nigdy, nigdy
nie wyświetlaj co użytkownik w tym polu napisał.
Ponieważ mógłbym wpisać tag "b" do, powiedzmy, Google, załóżmy że to pole wyszukiwania Google.
Wpisuję tag "b" i nie zamykam go,
Google mógłby, w najgorszym przypadku, wysłać to z powrotem do mnie,
i nagle wszystko po tym, gdzie napisane jest "Szukałeś 'Hello'."
Ten tag "b" nie pojawia się. On po prostu mówi,
"Pogrub wszystko", i to zrobi.
Reszta strony jest pogrubiona. Tag wszystko psuje.
Niebezpieczną, naprawdę niebezpieczną rzeczą jest to, że mogę wpisać w to pole
"Script."
Ponieważ w tym miejscu, jeżeli nie filtrujesz wyjścia,
jeżeli przyjmujesz wszystko co jest wpisane w tym polu,
na przykład tweetu,
i po prostu to odsyłasz z powrotem, tag pojawia się na stronie,

Russian: 
Это то, что браузер - Firefox, Chrome, Internet Explorer - должны запускать.
Но есть правило, очень важное.
с помощью которого можно избежать атаку, называемую Cross-Site Scripting.
Если на странице есть коробка, в которую пользователь может что-либо написать,
даже если она что-то типо поисковой строки,
ты никогда, НИКОГДА,
не должен отправлять ему то, что он только что туда написал.
Потому что я мог бы написать, например, метку  в Google, представим что это - поисковая строка Google.
Ямог бы написать 'Hello ', и не закрыть метку с помощью ,
и Google, в худшем случае, отправил бы это сразу ко мне,
и внезапно, всё после линии "Вы попытались найти 'Hello'."
Метка  не появляется, она просто говорит
"Сделать всё последующее жирным," и HTML послушается.
И вся последующая часть страницы была бы написана жирным текстом.
Опасная вещь,очень опасная, это когда я могу ввести в такую коробку
.
Потому что на таком моменте, никто не фильтрует результат,
и если страница берёт всё, что я засунул в эту поисковую строку,
например, в этом твите,
и сразу отправляет мой текст назад, то эта метка окажется в веб-странице.

English: 
and it is going to get run.
Now...
This is twitter.com.
This is what you saw on the website.
And this is the correct thing to do.
These have been changed, these angle brackets.
There's a little bit of code behind there, saying...
"This is actually an angle bracket, don't try and treat this as code."
And, it's done the correct thing.
This is the code of the exploit.
TweetDeck...
...forgot about that filter.
I mean, that is so basic. That is, like I said, web security 101.
That filter should never, ever, ever, ever, ever be turned off.
And yet, it was.
So this got run as code.
So let's break it down.
We have a "script" tag.
That "script" tag means everything here, including the tag itself,
doesn't get shown to the user, gets executed as code.
It's also got a class of "xss", that'll be important in a moment.
First command.
Dollar sign. That dollar sign is jQuery.
It's a JavaScript plug-in designed to make developing
so much easier, and so much faster, and it works.

German: 
und es wird ausgeführt werden
Ok...
das hier ist twitter.com
und dies ist was man auf der Website gesehen hat
und dies ist was das Richtige zu tun gewesen wäre.
Diese spitzen Klammern wurden geändert.
Dahinter steckt ein kleines bisschen Code, der befiehlt:
"In Wirklichkeit ist das eine spitze Klammer, versuche also nicht, dies als echten Code zu behandeln."
Und das wurde auch getan.
Das ist der Code des Exploits.
TweetDeck hingegen
hat diesen Filter aber vergessen.
Das ist einfach so fundamental. Das ist, wie gesagt, praktisch der Einsteigerkurs in Internetsicherheit.
Dieser Filter sollte absolut niemals, nie, ausgeschalten werden.
Und trotzdem war er es.
Also wurde das hier als Code ausgeführt.
Lasst es uns herunterbrechen.
Wir haben hier das "Script" tag.
Dieses "Script" tag bedeutet, dass alles innerhalb davon – das tag eingeschlossen –
dem Benutzer nicht angezeigt, sondern ausgeführt wird.
Außerdem hat es die Klasse "xss", das wird gleich noch wichtig.
Erster Befehl.
Ein Dollar Zeichen. Das Dollar-Zeichen bedeutet jQuery.
Es ist ein JavaScript Plugin, das entworfen wurde, um das Entwickeln
so viel einfacher und schnell zu machen – und es funktioniert!

Chinese: 
并会被运行。
现在……
这是twitter.com
这就是你在网站上看到的。
这是正确的做法。
他们转码了这些尖括号。
这背后有一些代码，意思是
“这本来就是一个尖括弧，不是什么代码。”
这就是正确的做法。
这个是出漏洞的代码。
TweetDeck……
……忘了检查这些内容。
我是说，这太基本了，这就是网络安全的最基本的东西，
那个过滤器绝对，绝对，绝对，绝对不能关掉，
但是它被关掉了。
所以这段文字会被当作代码被执行。
所以我们拆开来看一看。
这是一个Script标签。
这个标签表示这里面的一切，包括这个标签本身，
不会显示在页面上，而是被当作代码执行。
它还有一个叫做“xss”的“类”，一会就会用到了。
第一个指令。
美元符号。这个符号表示jQuery。
jQuery是一个让开发变得简单的
JavaScript插件。

Spanish: 
y va ser ejecutada.
Ahora...
Este es twitter.com.
Esto es lo que viste en el sitio web.
Y esto es lo que hay que hacer.
Estas han sido cambiadas, estas cuñas.
Hay un poco de código detrás, diciendo...
"Esto realmente es una cuña,
no lo intentes tratar como código".
Y, ha hecho lo correcto.
Este es el código del exploit.
TweetDeck...
...se olvidó de ese filtro.
Digo, es algo tan básico. Es, como dije,
lo primero que aprendes en seguridad web.
Ese filtro no debería nunca, nunca, nunca, nunca, JAMÁS ser apagado.
Y aun así, lo fue.
Así que esto se ejecutó como código.
Entonces, vamos a analizarlo.
Tenemos una etiqueta "script".
Esa etiqueta "script" significa todo aquí, incluyendo a si misma,
no se muestra al usuario, se ejecuta como código.
También tiene una clase de "xss", eso será importante luego.
Primer comando.
Símbolo de dólar. Ese símbolo es jQuery.
Es un complemento de JavaScript diseñado para hacer el desarrollo
mucho más fácil y mucho más rápido, y funciona.

Polish: 
i zostanie uruchomiony.
Teraz...
To jest twitter.com.
To jest to co zobaczysz na tej stronie.
I to jest poprawne.
To zostało zmienione, te trójkątne nawiasy
Jest kod mówiący:
"To jest trójkątny nawias, traktuj to jako kod"
I tutaj zrobił poprawną rzecz.
To jest kod exploitu (program mający na celu wykorzystanie błędów w oprogramowaniu - przyp. tłum.)
TweetDeck...
...zapomniał o tym filtrze.
To są podstawy. Tak jak mówiłem, to jest ważny element bezpieczeństwa sieciowego.
Ten filtr nigdy, nigdy, nigdy, nigdy, nigdy nie powinien być wyłączony.
Ale był.
I to zostało uruchomione jako kod.
Więc rozpracujmy to.
Mamy tutaj tag "script".
Ten tag "script" oznacza, że wszystko tutaj, łącznie z tagiem,
nie jest pokazywane użytkownikowi tylko jest uruchamiane.
Ma też klasę "xss", to będzie ważne za chwilę.
Pierwsza komenda.
Znak dolara. Ten znak to odwołanie do jQuery.
To dodatek do JavaScriptu zaprojektowany żeby sprawić programowanie
znacznie prostsze i szybsze, i to działa.

Portuguese: 
e...vai...ser...executada
agora
este é o twitter.com
isto é o que você viu no site
isto é a maneira certa de fazer
as tags devem ser tratadas de maneira diferente
tem um pequeno trecho de código dizendo
dizendo, isto é, este sinal de menor
não tente trata-lo como código
e foi feito corretamente, este é o código do exploit
o Tweetdeck
esqueceu do filtro
isso é tão básico, é tipo um princípio de segurança web
aquele filtro,  nuca,  nunca, (repetição)
ser desligado, mas ainda assim...foi
então isto roda como código
então bora dissecar ele
temos
uma tag 
esta tag 
significa tudo aqui incluindo a mesma (tag)
não é mostrado ao usuário
é executada como código
e também tem uma classe chamada "XSS"                  (XSS significa Cross Site Scripting)
e isto pode ser importante em algum momento
Primeiro comando : cifrão, esse cifrão é o jquery, que é uma biblioteca para Javascript, feita para transformar a vida do desenvolvedor tão fácil e é rapido e funciona

Russian: 
И запустится браузером.
Теперь...
Это - twitter.com.
Вот это вы видели на странице.
И это правильно.
Администрация сайта изменила содержимое кода страницы.
И там есть немножечко кода, который говорит...
"Это на самом деле не код, не надо пытаться это выполнить как код."
И таким образом проблема была решена.
Вот код этого твита.
TweetDeck...
...забыла о фильтре кода.
То есть, это же банальная ошибка кода, как я уже сказал, это же базовые основы безопасности.
Этот фильтр никогда, никогда, никогда, никогда не должен быть выключен.
Однако, так и произошло.
И это было запущено в браузерах как код.
Теперь давайте посмотрим, как этот твит работает.
У нас есть метка .
Эта метка означает всё в её пределах, включая её саму,
не должно быть показано пользователю, и должно быть запущено как код.
И ещё оно использует класс "xss", это будет важно через секунду.
Первая команда.
Знак доллара. Этот знак доллара - jQuery.
Это дополнение для JavaScript, сделанное для облегчения разработки.
Из-за него работать было гораздо быстрее и легче,и оно работало.

French: 
et sera exécuté.
Bon...
C'est twitter.com
C'est ce que vous avez vu sur le site.
Et c'est la bonne chose à faire.
Elles ont été remplacées, ces parenthèses en angle.
Il y a un bout de code derrière qui dit :
« C'est une parenthèse en angle, il n'y a pas de code ici. »
Et ça a fait la bonne chose.
C'est le code de l'exploit.
TweetDeck...
... a oublié ce filtre.
Je veux dire, c'est tellement basique. Comme je l'ai dit, c'est le B.A-BA de la sécurité web.
Ce filtre ne devrait jamais, au grand jamais être éteint.
Et pourtant, il l'a été.
Donc ceci a été traité comme du code.
On va analyser cela.
On a un marqueur "script".
Ce marqueur veut dire que tout là dedans, marqueurs inclus
n'est pas montré à l'utilisateur, mais est exécuté comme du code.
Il y a aussi une classe "xss", on va y revenir.
Première commande.
Signe dollar. Ce signe, c'est du JQuery.
C'est un plugin JavaScript conçu pour rendre la programmation
beaucoup plus simple et rapide, et ça marche.

Dutch: 
en het wordt uitgevoerd.
Dus...
Dit is twitter.com.
Dit is wat je zag op de website.
En dit is het correcte om te doen.
Deze zijn aangepast, deze punthaken.
En er zit een stukje code hierachter, wat zegt:
"Dit is eigenlijk een punthaakje, probeer niet dit als code te behandelen"
En, het doet wat het moet doen.
Dit is de code van de exploit.
TweetDeck...
...is dat filter vergeten.
Ik bedoel, dat is ZO basis. Dat is, zoals ik zei, webveiligheid regel 1.
Dat filter zou nooit, nooit, nooit, nooit, nooit uit mogen worden gezet.
En toch, dat was het wel.
Dus deze code werd uitgevoerd.
Dus laten we het afbreken.
We hebben hier een "script" tag.
Die "script" tag betekent dat alles hier, inclusief de tag zelf,
niet wordt weergegeven aan de gebruiker, maar wordt uitgevoerd als code.
Het heeft ook de klasse "xss", dat is ook belangrijk op het moment.
Eerste instructie.
Dollarteken. Dat dollarteken betekent jQuery.
Dat is een JavaScript plug-in, ontworpen om het ontwikkelen
vele malen makkelijker te maken, en veel sneller, en het werkt.

French: 
Et ce que cette commande, le premier bout, signifie est :
« Trouve moi tout ce qui a une classe "xss". »
Et bien, c'est le marqueur "script".
Cette partie ici.
En gros, c'est « Cherche-moi. Cherche moi-même. Cherche ce bout de code. »
OK.
On va vers le bout de commande suivant qui dit
« Cherche les parents. Cherche tout ce qui contient ceci. »
Et cette commande, en JQuery, donne une liste ordonnée
des niveaux hiérarchiques des conteneurs.
Donc il trouve d'abord le texte du marqueur.
Puis il trouve cette boîte ici.
C'est important, cet endroit là.
Puis il trouve tout le tweet, puis la liste des tweets,
puis un gros pan de la page, puis un bout plus grand, puis la page entière. Mais...
on s'en fiche, il donne la liste ordonnée.
Ce bout là, « Cherche le deuxième élément de la liste ».
Les ordinateurs comptent de zéro, donc un sera le deuxième.
Zéro... un.
OK ? Le deuxième élément de la liste, ce bloc ici.
OK ? Partie suivante.

Portuguese: 
e o que este comando faz, só este pequeno pedaço aqui
ache para mim
tudo nesta página
com a classe XSS
porem, isto é a tag , essa daqui
bem aqui
está dizendo
me ache, ache a mim mesmo, ache este trecho de código
certo
então vamos ao próximo comando
que diz, ache os pais da tag, ache tudo que envolve, contém essa tag
e esse comando no jquery, retorna uma lista
de cada container
então ele acha primeiro o texto da tag script
então ele acha esta caixa aqui, isto é importante, este pedaço aqui
depois ele acha o tweet em sí
ou uma lista de tweets ou talvez a página inteira
porém não importa, retorna uma lista
esse pedaço aqui
pegue o segundo item da lista
Computadores contam desde o zero, então 1 é 2
0 .. 1
certo, o segundo item da lista
este bloco aqui
certo, próximo pedaço

German: 
Und dieser erste Befehl, nur dieses kleine Stück, heißt:
"Finde alles mit der Klasse 'xss' auf dieser Seite"
Naja, das ist eben dieses "script" Tag.
Dieses Stück genau hier.
Es sagt "Finde mich. Finde mich selbst. Finde dieses kleine Stück Code."
Okay.
Dann gehen wir zum nächsten Teil des Befehls, der sagt
"Finde die übergeordneten Elemente. Finde alles, das das hier enthält."
Und dieser Befehl liefert in jQuery eine sortierte Liste
von jedem Level an Container (Behälter).
Als erstes findet er also den Text des "script" Tags.
Dann findet es diese Box hier.
Das ist wichtig. Dieses Stück hier.
Dann findet es den ganzen Tweet, dann die Liste an Tweets,
dann vielleicht einen großen Teil der Website, dann mehr, dann die ganze Seite an sich.
Aber das ist irrelevant, es liefert eine sortierte Liste.
Dieser Teil hier: "Finde das zweite Objekt in dieser sortierten Liste".
Computer zählen von null beginnend, also ist eins das zweite.
Null... Eins.
Okay? Zweites Element der Liste: dieser Block genau hier.
Okay? Nächstes Stück.

Spanish: 
Y lo que significa este comando aquí, este primer poco, es
"Encuentra cualquier cosa en esta página con la clase de '.xss'."
Bueno, eso es la etiqueta "script".
Este poquito de aquí.
Esta diciendo, "Encuéntrame. Encuéntrame a mi. Encuentra este pedacito de código".
OK.
Entonces continuamos con el siguiente pedazo del comando, que dice,
"Encuentra los 'parents'. Encuentra todo en lo que está contenido esto."
Y ese comando, en jQuery, retorna una lista ordenada
de cada nivel contenedor.
Así que encuentra, primero el texto de la etiqueta script.
Luego, encuentra esta caja, justo aquí.
Eso es importante. Este poquito justo aquí.
Después encuentra el tweet completo, y luego la lista de tweets,
y quizás un pedazo de la página web, y luego uno más grande, y luego todo completo. Pero...
No importa, retorna a la lista ordenada.
Este pedazo aquí, "Encuentra el segundo objeto en esa lista ordenada".
Las computadores cuentan a partir de cero,
así que uno, sería el segundo.
Cero... Uno.
¿Ok? Segundo elemento en esa lista, este bloque de aquí.
¿Ok? Siguiente parte.

Russian: 
И эта команда здесь, её начальная часть, означает
"Найди мне всё на этой странице с классом 'xss'."
И, находится именно эта метка .
Вот эта часть здесь.
Она требует "Найди меня. Найди себя. Найди эту маленькую часть кода."
Окей.
Теперь давайте перейдём на следующую часть команды,которая говорит
"Найди владельцев группы. Найди всё, в чём этот объект находится."
И эта команда, в jQuery, выводит рассортированный лист
каждого уровня контейнера.
И находит, сначала, сам текст с меткой .
Потом находит эту коробку.
Это важно. Именно эту коробку.
Потом находится весь твит, потом список твитов,
потом, возможно, большую часть страницы, затем побольше, потом всю страницу. Но...
Это не важно, выводится сортированный список.
Вот эта часть, "Найди вторую вещь в этом списке."
Компьютеры считают с нуля, и выходит, что 1 является второй.
Первая... Вторая.
Окей? Второй элемент в том списке, именно этот блок.
Окей? Следующая часть.

Chinese: 
这里的这个指令，就开头这一点，表示
“找到页面上一切有xss类的东西。”
这就是这个script标签，
就是这里。
基本就是“找到我。找到我自己。找到这段代码。”
好的。
然后是下一块代码，意思是
“找到上层元素。找到一切包含了这段代码的东西。”
在jQuery里这个指令会给出一个排好序的列表，
每一项都是一层“容器”。
所以，首先是包含这个标签的那段文本，
然后是这个框，就这里。
这很重要。就这儿。
然后才是整个推文，整个推文列表，
网页上更大的一块，更更大的一块，最后是整个网页。
这不重要，它只是给出一个排好序的列表。
这一段：“找到这个列表的第二项。”
计算机从零开始计数，所以1是第二项。
零……一。
好了吗？第二项，就是这个块。
好了吗？下一步。

English: 
And what this command here, just this first bit, means is
"Find me anything on this page with the class of 'xss'."
Well, that's this "script" tag.
That's this bit right here.
It's saying, "Find me. Find myself. Find this little bit of code."
Okay.
Then we move on to the next bit of the command, that says,
"Find the parents. Find everything that this is contained in."
And this command, in jQuery, returns an ordered list
of each level of container.
So it finds, first of all, the text of the script tag.
Then, it finds this box, just here.
That's important. This bit just here.
Then it'll find the whole tweet, then the list of tweets,
then maybe the the big bit of the web page, then the bigger bit, then the whole thing itself. But...
Doesn't matter, it returns the ordered list.
This bit here, "Find the second item in that ordered list."
Computers count from zero, so one, will be the second.
Zero... One.
Okay? Second element in that list, this block just here.
Okay? Next bit.

Polish: 
I pierwsza komenda w tym kodzie oznacza:
"Znajdź wszystko na tej stronie z klasą 'xss'."
Cóż, to ten tag "script".
Ta część kodu tutaj.
Więc mówi: "Znajdź mnie. Znajdź ten kawałek kodu"
Okej.
Później przenosimy się dalej, następna komenda to:
"Znajdź "rodzica". Znajdź wszystko w czym jestem zawarty."
I ta komenda w jQuery zwraca ułożoną listę
każdego poziomu "kontenera".
Więc znajduje, przede wszystkim tekst tego tagu.
Później znajduje tą ramkę, tutaj
To jest ważne. Właśnie tutaj.
Później znajduje całego tweeta, później listę tweetów,
dalej może część strony, większą część strony i całą stronę. Ale...
To nieważne, zwraca uporządkowaną listę.
Ten fragment, "Znajdź drugi element z tej listy".
JavaScript liczy od 0, więc 1 będzie drugim elementem.
Zero... Jeden.
Okej? Drugi element na liście, to ten blok.
Tak? Idziemy dalej.

Dutch: 
En wat deze instructie hier, dit eerste deel, betekent, is:
"Vindt iets op deze pagina van de klasse 'xss'."
En dat is deze "script" tag.
Dat is dit deel hier.
Het betekent: "Vind me, vind mezelf. Vind dit stukje code."
Oké.
Dan gaan we verder naar het volgende stukje van de instructie, dat zegt,
"Vind het bovenliggende element. Vind alles waar dit in zit."
En deze instructie, in jQuery, geeft een gerangschikte lijst
van ieder niveau van de container.
Dus het vindt als eerst de tekst van de "script" tag.
Dan, vindt het dit veld, hier.
Dat is belangrijk. Dit stukje hier.
Dan vindt het de hele tweet, dan de lijst van tweets,
dan misschien een groot deel van de pagina, dan een groter deel, en dan het geheel. Maar...
Maakt niet uit, het geeft een gerangschikte lijst.
Dit deel hier, "Vind het tweede item in die lijst."
Computers tellen vanaf nul, dus één is de tweede.
Nul... Een.
Oké? Tweede element in die lijst, dit blokje hier.
Oké? Volgende deel.

English: 
Find all the "a" tags in that block.
"A" tags are links. They are things you can click on.
Well, we can do that. They're just here.
There's the first, there's a second, third, fourth, there's loads more down here.
Got a list of the "a" tags.
Next up, find the second in that list.
Second in that list, oh look! It's this retweet button.
Hey! Click it.
And that acts as if the user has click retweet. But it's not done yet.
New command.
Because that doesn't immediately retweet. It pops up a dialog box.
Says "Are you sure you want to do this?"
Dollar sign, "Find me."
"data-action"
So find me something, which has a data attribute, which this button does,
equal to "action of retweet".
Well hey! That's that button just there.
Click it.
Boom! Retweet done, out to everyone else.
Again, only if you use TweetDeck. Only if that filter was off,
which it should never, ever, ever, ever, ever have been.
We still got some characters left.
This is the wonderful thing. I mean, well done Andy.

Portuguese: 
ache todas as tags , neste bloco
Tags  são links, são coisas em que você pode clicar
e vai achar estes botões aqui
essa é a parte das tags 
próximo
pegue o segundo botão
o segundo botão ? ei olhe, é o botão de retweet. Clica nele
e isso age exatamente como se o usuário tivesse clicado
e ainda não acabou, novo comando
porque ainda não foi retweetado, já que abre uma caixa de diálogo
e diz : você tem certeza ?
cifrão me ache
'[data-action=retweet]'
então ache para mim que tenha um atributo chamado data
que este botão tem!
e que este atributo tenha o valor 'action=retweet'
e ei olha, é aquele botão que está escrito 'retweet'
clica nele
boooooooooooooooooom
ta feito o retweet, para que todos possam ver
denovo, somente se você usa o Tweetdeck e estiver loggado
somente se aquele filtro estiver desligado
o que nunca ..... deveria
isso é uma coisa maravilhosa, realmente bem feita
*Andy? se este realmente for seu nome

Chinese: 
“找到这个块里所有的A标签。”
A标签是超链接，是你可以点的东西。
我们可以做这一项。他们就在这。
这是第一个，这是第二个，第三个，第四个。下面还有更多。
这是A标签（超链接）的列表。
下一步，找到第二项。
第二项，看，是转推按钮。
嘿！点击它。
这相当于用户点击了转推按钮。还没完：
新指令。
因为转推按钮不会立即转推，而是会弹出一个对话框，
内容是“你确定要转推吗？”
美元符号，“找到我”。
“data-action”（数据-动作）。
所以是“找到有数据：‘转推’动作的东西”，
就是这个按钮。
嘿！这个按钮在这。
点他。
梆！转推完成，大家都看到了。
再说一次，这只会发生在过滤器被关掉的TweetDeck上。
那个过滤器绝对，绝对，绝对，绝对不能关掉。
我们还有地方写点什么。
这是有趣的部分。我是说，Andy，干得好。

Spanish: 
Encuentra todas las etiquetas "a" en ese bloque.
Las etiquetas "a" son vínculos. Son las cosas en las que puedes hacer clic.
Bueno, podemos hacerlo. Están justo aquí.
Aquí esta la primera, ahí la segunda, tercera, cuarta,
y hay muchas más aquí abajo.
Obtuvo una lista de las etiquetas "a".
Siguiente, encuentra la segunda en esa lista.
Segunda en esa lista, ¡Oh mira! Es el botón de retweet.
¡Oye! Hazle clic.
Y eso actúa como si el usuario hubiera
cliqueado retweet. Pero aún no termina.
Nuevo comando.
Porque eso no se retweetea inmediatamente,
sino que abre un cuadro de diálogo.
Dice "¿Estás seguro que quieres hacer esto?"
Signo dólar, "Encuéntrame".
"data-action"
Entonces encuentra algo, que tenga un atributo de dato, que este botón tiene,
igual a "acción de retweetear".
¡Pero oye! Ese es el botón, justo ahí.
Cliquéalo.
¡Bum! Retweet hecho, para todos los demás.
De nuevo, solo si usas TweetDeck. Solo si ese filtro estaba apagado,
lo cual, nunca, nunca, nunca jamás debió estado.
Todavía nos quedan algunos caracteres.
Esta es la parte maravillosa. Digo, bien hecho Andy.

French: 
« Cherche tous les marqueurs "a" du bloc. »
Les marqueurs "a" sont des liens. On peut cliquer dessus.
Et bien, en voici, juste là.
Voici le premier, puis le deuxième, le troisième, le quatrième, et y'en a plein en dessous,
On a une liste de marqueurs "a".
« Ensuite, cherche le deuxième de la liste. »
Le deuxième... Tiens ! C'est le bouton "retweeter" !
Et, clique dessus.
Et ça fait comme si l'utilisateur avait cliqué sur "retweeter". Mais ce n'est pas fini.
Nouvelle commande.
Parce que ça ne retweete pas tout de suite. Il donne une boîte de dialogue.
Comme "Êtes-vous sûr de faire ça ?"
Signe dollar, « Trouve-moi »
"data-action"
Donc trouve-moi une chose qui a un attribut de données, comme ce bouton,
égal à "action de retweet".
Hé bien ! C'est ce bouton juste ici.
On clique.
Et bim ! Retweet terminé, envoyé à tout le monde.
Là encore, seulement si vous utilisez TweetDeck. Seulement si ce filtre est éteint
ce qui n'aurait jamais, au grand jamais dû arriver.
Il nous reste des caractères libres.
Et c'est le truc incroyable. Je veux dire, bien joué Andy

German: 
Finde alle "a" Tags in eben diesem Block.
"a" Tags sind Links. Das sind die Teile, auf die du klicken kannst.
Nun, das können wir tun. Die sind genau hier.
Hier ist der erste, da der zweite, der dritte, der vierte und noch eine ganze Menge hier unten.
Jetzt habe ich eine Liste der "a" Tags.
Als nächstes sollst du mir das zweite Element in dieser Liste finden.
Zweites Element der Liste. Oh sieh an! Das ist der Retweet Knopf.
Hey! Klick den an!
And das simuliert den Klick eines Benutzers. Aber er ist noch nicht fertig.
Neuer Befehl.
Denn das alleine führt nicht zum Retweet. Ein Dialogfenster öffnet sich zuerst.
Das fragt: "Bist du sicher, dass du das tun willst?"
Dollar Zeichen, "Finde mich"
"data-action"
Also finde für mich etwas, das ein "data" Attribut hat – was auf diesen Knopf zutrifft –
und gleich "action of retweet" ist.
Ja schau an! Das ist ja gerade dieser Knopf hier.
Klick ihn an.
Boom! Fertig ist der Retweet an alle anderen.
Wie gesagt: Nur wenn du TweetDeck benutzt und nur, wenn der Filter ausgeschaltet war.
Was er absolut niemals, nie, hätte sein dürfen.
Wir haben hier immer noch ein paar Zeichen übrig.
Das ist das wunderbare daran. Sehr gut gemacht Andy.

Russian: 
"Найди все метки  в этом блоке."
Метки  - ссылки. Чтуки, на которые можно нажимать.
И, мы можем это сделать. Они находятся прямо здесь.
Вот первая ссылка, вот вторая, третья, четвёртая, там их ещё куча внизу.
Есть список меток .
Далее, "Найди вторую вещь в списке."
Вторая вещь в этом списке, да это же кнопка ретвита!
"Эй! Нажми на неё."
И это работает как если бы пользователь нажал эту кнопку. Но это ещё не всё.
Новая команда.
Потому что вместо того, чтобы сразу ретвитнуть, страница выдаёт окно
с вопросом "Вы уверены, что вы хотите это сделать?"
Знак доллара, "Найди себя."
"[data-action..."
Обозначает, найди мне что-либо с атрибутом информации, коим эта кнопка обладает,
равным "ретвитнуть".
Оу! Это же именно эта кнопка.
"Нажми на неё."
Бум! Ретвит готов, с вашей страницы для всех остальных.
Опять же, только если вы используете TweekDeck. Если бы этот фильтр был бы отключён,
что не должно происходить никогда никогда никогда.
У нас ещё осталось немного места для кода.
Отличная чтука. Серъёзно, Andy, ты молодец.

Polish: 
Znajdź wszystkie tagi "a" w tym bloku.
Tagi "a" to linki. To są rzeczy, na które możesz kliknąć
Otóż możemy to zrobić, one są tutaj.
Tu jest pierwszy, drugi, trzeci, czwarty, dalej ładuje się ich więcej na dole.
Mamy listę tagów "a".
Dalej, znajdź drugi element w tej liście.
Drugi na liście, zobacz! To przycisk "retweet"!
Hej! Naciśnij go.
I to działa jakby użytkownik go kliknął. Ale to jeszcze nie koniec.
Następna komenda.
Ponieważ to nie działa natychmiastowo. Wyskakuje okno potwierdzenia:
"Czy na pewno chcesz to zrobić?"
Znak dolara, znajdź:
"data-action"
Więc znajdź coś co ma atrybut "data" (ang. dane), a taki ma ten przycisk.
równy "akcji retweetu".
Hej! To jest ten przycisk tutaj.
Kliknij go.
Bum! Tweet wysłany do wszystkich.
Ponownie, tylko jeżeli używasz TweetDecku. Tylko jeżeli ten filtr był wyłączony,
co nigdy, nigdy, nigdy, nigdy, nigdy nie powinno się zdarzyć.
Mamy jeszcze kilka pozostałych znaków.
To jest piękna rzecz. Dobra robota Andy...

Dutch: 
Vind alle "a" tags in dat blok.
"A" tags zijn links. Het zijn dingen waar je op kunt klikken.
Nou, dat kunnen we doen. Ze zijn hier.
Daar is de eerste, de tweede, derde, vierde, en nog genoeg hier beneden.
We hebben een lijst met "a" tags.
Volgende, vind het tweede element in die lijst.
Tweede element in die lijst, oh kijk! Het is dit retweet knopje.
Hee! Klik erop.
En dat geeft het effect alsof de gebruiker op retweet heeft geklikt. Maar het is nog niet klaar.
Nieuwe instructie.
Want dat retweet niet meteen. Het geeft een dialoogvenster.
"Weet u zeker dat u dit wilt doen?"
Dollarteken, "Vind me."
"data-action"
Dus vind iets, met een data attribuut, wat deze knop heeft,
gelijk aan "actie van retweet".
Nou hee! Dat is die knop daar.
Klik erop.
Boem! Retweet gedaan, verstuurd naar iedereen.
Nogmaals, alleen als je TweetDeck gebruikt. Alleen als dat filter uitstaat,
wat nooit, nooit, nooit, nooit, nooit had mogen gebeuren.
We hebben nog wat tekens over.
En dit is het mooie eraan. Ik bedoel, goed gedaan Andy.

German: 
... Falls das dein echter Name ist. Ich vermute dein Account wird nicht für sehr lange überleben.
Aber wir haben noch Zeit für einen dritten Befehl.
Wir haben noch Spielraum.
'Achtung' Und was dieser Befehl macht ist einen richtig aufdringlichen Dialog anzuzeigen.
In diesem Fall sagt er einfach "XSS…",
Cross-Site Scripting (wörtl. "Seitenübergreifendes Skripten"), und das ist genau dieser Angriff,
"…in TweetDeck."
Andy sagt dir ganz genau, was sie da gemacht haben,
in dem Moment, in dem sie es getan haben.
Und zum Schluss, nur um nett zu sein,
ein schließendes "script" Tag, einfach weil noch Platz dafür da ist,
höflich, alles in einem Tweet eingeschlossen,
und dann, einfach um herzlich zu sein,
ein Herz.
Sobald das nämlich rausgeht, und weil sie genau noch ein Zeichen zu Verfügung haben,
sieht jeder, der anfällig ist,
nicht dieses Tohuwabohu, diesen Code,
sondern nur dieses kleine, rote Herz.
Und das war's.
So hat es funktioniert.
140 Zeichen an Code – naja, weniger als 140 Zeichen –
und ein Programmierer von TweetDeck, der nicht aufgepasst hat.
Das ist alles was für den ersten selbst-retweetenden Tweet, den wir seit langem gesehen haben, notwendig war.

Portuguese: 
eu suspeito que você não irá sobreviver por muito tempo
porém nós esquecemos de uma coisa,  o comando alert
e o que isto faz, é mostrar um alerta na tela
e nesse caso diz XSS
ataque de Cross Site Scripting
no Tweetdeck
e isto diz a você exatamente o que foi feito
apenas...o...que...foi...feito
e no final, apenas para ser correto
o fechamento da tag script
apenas por ser compacto e politicamente correto
e então
apenas para ser adorável e amável
um coração
porque  ainda restava um caractere
porem todos vulneráveis irão ver o código que você acabou de ver
junto com um pequeno coração vermelho
e é isso, é assim que funciona
140 caracteres de código, bom...menos que 140 (exatamente 139  e 140 com o coração)
um tweet ????
e é esse o primeiro auto retweeting tweet visto em um longo tempo

English: 
...if that's your real name.  I suspect your account won't survive for very long.
But we've got time for a third command.
We've got room.
Alert. And what that says is, pop up a really obnoxious dialog box
And in this case, it just says, "XSS...",
Cross-Site Scripting, the very attack here,
"...in TweetDeck."
Andy is telling you exactly what they've done
just as they've done it.
And finally, just to be nice,
a closing "script" tag,  just because we've got room for it,
polite, just embed it in one tweet,
and then, just to be lovely,
a heart.
Because, once it goes out, and they've got one character left,
but anyone who's vulnerable,
won't see all this gubbins, all this code,
they will just see the little, red, heart.
And that's it.
That's how it worked.
140 characters of code, well, less than 140 characters,
and one TweetDeck programmer dropping a ball.
That's all it took for the first self-retweeting tweet we've seen in a very long time.

Spanish: 
...si es que ese es tu nombre real.
Sospecho que tu cuenta no sobrevivirá por mucho.
Pero tenemos tiempo para un tercer comando.
Aun queda espacio.
'Alert'. Y lo que eso dice es, "haz aparecer un
desagradable cuadro de diálogo."
En este caso, sólo dice "XSS...",
'Cross-Site Scripting' (XSS), este mismísimo ataque,
"in TweetDeck."
Andy está diciendo exactamente lo que han hecho
justo de la forma que lo hicieron.
Y finalmente, solo para ser amable,
una etiqueta de cierre de "script", solo porque tenemos el espacio para ella,
cortés, simplemente incluido en un tweet,
y luego, para ser amoroso,
un corazón.
Porque, una vez que salga, y les quede un carácter sobrante,
pero cualquiera que sea vulnerable,
no va a ver todo este enredo, todo este código,
ellos solo van a ver el pequeño corazón rojo.
Y ahí está.
Así es como funciona.
140 caracteres de código, bueno, menos de 140 caracteres,
y un programador de TweetDeck al que se le escapó.
Y todo eso fue lo que se necesitó para el primer tweet auto-retweeteador que hemos visto en mucho tiempo.

Polish: 
...jeżeli to jest twoje prawdziwe imię. Wydaje mi się, że twoje konto długo nie przetrwa.
Ale mamy tutaj trzecią komendę.
Mamy miejsce.
Alert. Nazwa wskazuje sama za siebie, pokazuje okropne okno dialogowe.
I w tym przypadku pokazuje po prostu "XSS...",
Cross-Site Scripting, właśnie ten atak,
"...in TweetDeck." (ang. XSS w TweetDecku)
Andy mówi ci dokładnie to co zrobił,
od razu po tym jak to zrobił.
I na koniec, żeby być miłym
Zamknięcie tagu, bo mamy miejsce na to,
uprzejmie, zmieścił to w jednym tweecie,
i żeby być kochanym,
serce.
Ponieważ po tym wszystkim zostaje tylko jeden znak.
Ale każdy kto jest narażony,
nie zobaczy tego chłamu, tego kodu,
zobaczy tylko jedno małe, czerwone serce.
I to jest wszystko.
W ten sposób to działa.
140 znaków kodu, cóż, mniej niż 140 znaków,
i jeden programista TweetDecku.
To wszystko co trzeba do pierwszego samo-udostępniającego się tweetu.

Chinese: 
如果这是你的真实姓名的话。我猜你的账号不会活太长时间了。
我们还有时间写第三个指令。
我们还有空间。
Alert（弹出对话框）。就是弹出一个烦人的对话框，
此处他的内容是
“跨站脚本攻击（XSS）”——就是这个攻击——
“……在TweetDeck中”。
Andy在这里明确地告诉你他干了什么，
就像他刚刚做过的一样。
然后，只是稍微友好一点，
他关闭了script标签，因为他还有地方，
也很礼貌，只是影响一个推文，
然后只是显得有爱一点，
一个爱心。
因为他们还有一个字的空间，当推文发出去后，
所有的受害者
都不会看到这些乱七八糟的代码，
他们只是看到这个小小的红色的爱心。
完毕。
这就是他的运作方式。
不到140字的代码，
和一个玩忽职守的TweetDeck程序员。
这就是我们一直以来看到的自我转推的推文所需的一切条件。

Dutch: 
...als dat je echte naam is. Ik denk dat je account niet lang zal overleven.
Maar we hebben deze derde instructie.
We hebben ruimte.
'Alert.' En wat dat betekent is, maak een vervelend dialoogvenster
En in dit geval staat er alleen "XSS...",
"Cross-Site Scripting" de aanval waar het om gaat hier,
"...in TweetDeck."
Andy vertelt je hier precies wat er zojuist gebeurd is
terwijl het gebeurt.
En ten slotte, om aardig te zijn,
een afsluitende "script" tag, gewoon omdat we er ruimte voor hebben,
netjes, stop het in één tweet,
en dan, gewoon om lief te zijn,
een hartje.
Want, als het verzonden wordt, en ze hebben één karakter over,
maar iedereen die kwetsbaar is,
ziet deze zooi, deze code, niet,
ze zien alleen het kleine, rode, hartje.
En dat is het.
Dat is hoe het werkte.
140 karakters aan code, nou, minder dan 140 karakters,
en één TweetDeck programmeur die een steek liet vallen.
Dat is alles wat nodig was voor de eerste zelf-retweetende tweet die we in een lange tijd gezien hebben.

French: 
... enfin si c'est ton vrai nom. Je crois que ton compte ne restera pas actif pour longtemps.
Mais on a le temps pour une troisième commande.
On a de l'espace.
Alerte. Et ça veut dire « Montre un message vraiment insolent. »
Et dans ce cas précis, ça dit juste "XSS..."
Cross-Site scripting, l'attaque en question,
"... sur TweetDeck."
Andy nous dit exactement ce qu'il a fait
au moment où il le fait.
Et à la fin, juste pour être sympa,
un marqueur "script" fermant, puisqu'on a la place pour ça,
poliment, en mettant tout en un seul tweet,
et ensuite, pour être aimable,
un cœur.
Car lorsqu'il est envoyé, ce tweet auquel il ne reste qu'une lettre
n'apparaîtra pas avec tout ce code
aux victimes du tweet.
Ils verront juste ce petit cœur rouge.
C'est tout.
C'est comme ça que ça marche.
140 caractères, enfin, moins de 140 caractères de code
et un programmeur de TweetDeck qui fait n'importe quoi.
C'est tout ce qu'il fallait pour le premier tweet auto-retweeteur de ces dernières années.

Russian: 
...если же тебя так зовут. Я уверен.твой аккаунт не переживёт долгий период.
Но у нас ещё есть время для третей команды.
У нас есть место.
"alert(...". И эта команда значит, что надо высветить ту надоедливою коробку предупреждения.
Которая, в этом случае, имеет текст "XSS..."
Что значит Cross-Site Scripting, метод этой самой атаки.
"...в TweetDeck."
Andy сообщает о том, что он\она сделал(а).
Сразу после того, как он\она что-либо сделала.
И на конец, ради вежливости,
конец метки , потому что у нас ещё есть место,
красиво и вежливо, всё в одном твите,
и за тем, просто для красоты,
сердечко.
Потому, что остался лишь один символ.
Однако все, кто уязвимы,
не увидят весь этот код,
они просто увидят одинокое, маленькое, сердечко.
И всё.
Так всё и работало.
140 символов кода, ну, меньше чем 140,
и один программист TweetDeck, который проглядел дырку.
И лишь этого хватало для самого первого само-распространяющегося твита за очень долгое время.

English: 
And some fairly significant disruption to what has
pretty much unbelivably become an important part
of how the world communicates.
Worrying, isn't it?
[Translating these subtitles? Add your name here!]

Dutch: 
En wat behoorlijke verstoring van, wat
eigenlijk een ongelooflijk belangrijk onderdeel
van hoe de wereld communiceert, is.
Zorgwekkend, toch?
Nederlandse ondertiteling door PimDoos

French: 
Et un dérangement significatif de ce qui
est devenu, étonnamment, une partie intégrante
de la communication dans le monde.
Inquiétant, n'est-ce pas ?
~ Sous-titres de TheSola10 ~

Russian: 
И лишь игнорирование маленькой дырочки,
было достаточно для позволения взлома
способа общения целого мира.
Заставляет задуматься, не так ли?
Перевёл Architector #4

Portuguese: 
o que mostra como pode se tornar algo inimaginável, uma falha na maneira de como nos comunicamos
preucupante né?
Legendas e adaptações por TheLeandroNex

Spanish: 
Y algún alboroto bastante significativo a algo que se ha
convertido increíblemente en una parte importante
de cómo se comunica el mundo.
Preocupante, ¿no es así?
 

Polish: 
I dość znaczne nieporozumienia
co praktycznie niemożliwie spełnia ważną rolę
w tym jak świat się komunikuje.
Niepokojące, nieprawdaż?
[Tłumaczenie: Szymon S, Jan R.]

German: 
Und eine ganz schön signifikante Störung von etwas,
das unglaublicher Weise ein wichtiger Teil dessen ist,
wie die Welt kommuniziert.
Beunruhigend, oder nicht?
Translated by: JDEW, GoSpringboksGo, The_Blocklord, Freakschwimmer

Chinese: 
而这个很显著的破坏
难以置信地成了世界通信中
重要的一环。
让人担忧，不是吗？
（翻译：User670）
