Twitterの脆弱性で起きた騒動と対処法のまとめ
- shields_pikes
- 24477
- 2
- 34
- 0
twitterの140文字の投稿文の中で、JavascriptやCSSが使えるセキュリティホールが見つかったみたいですね。背景色を変えて遊ぶぐらいならいいけど、危険なものも作れそうなので、対応が済むまでは怪しいツイートには近寄らない方がいいかも。
2010-09-21 18:42:51怪しいツイートに近寄らないと言っても、フォロワーからのRTなどで勝手にタイムラインに飛び込んでくるので、一番の対策はPCやiPhoneのWebブラウザからはTwitterを見ないこと。これを機に、クライアントアプリを導入してみると吉かも。
2010-09-21 18:54:57こんな事例もあるらしい。w RT @ishiduca: @kaorin_linux ブラウザで http://bit.ly/9AFmUA へ行くと「こんにちはこんにちは」って勝手につぶやかれるXSSに引っかかるとかなんとか
2010-09-21 21:11:46あーーー、凶悪になってる。class="modal-overlay" を付与することでTwitter web画面全体にリンクがオーバーレイするようになって、画面のどこにカーソルあてても発動するようになってる。リンクタグだけ注意とかのレベルじゃない。RTダメ、絶対!
2010-09-21 22:24:23【セキュリティ情報】ついったーのWebにXSS脆弱性が発見されました。Webでの表示は控えた方が良さそうです。ついったーのモバイルも同様です。マウスカーソルを当てただけで勝手にツイートされたり、表示が崩れる被害が出ております。
2010-09-21 20:48:39これは2週間前の記事。9/8時点でTwitter側は修正対応した、って言ってたけど、まだ穴があったんだね。 RT @cot_ce: TwitterのXSS脆弱性突いてCookieを盗む攻撃、Kasperskyが報告 http://bit.ly/cQUEdF
2010-09-21 19:26:13もう1ヵ月経つので言うけど、このXSS-after-@ issues、僕が8月14日に報告したものなんだけどなんでold Twitterで修正されてないのにTwitterの中の人自ら丸見えにさせてるの? http://bit.ly/aDhTs4
2010-09-21 16:37:04そんな訳でRainbow Twitterをリリースしました。各自RTしてタイムラインをカラフルにしましょう!!!(新Twitterには対応していません) http://twitter.com/rainbowtwtr
2010-09-21 16:37:40クリティカルな問題でありながら報告後長らく修正されなかったこと、さらにツイッター側が自ら脆弱性を公開したままにしており問題意識があまりにも低いことなどを考慮して、背後で巧妙に悪用されるよりは早急に問題の重大さを認識させ対策させた方がいいだろうという判断で虹を架けさせて頂きました
2010-09-21 19:55:39ステータスブログを更新しました。「XSSアタックについて認識し、パッチによる修復作業を行いました」http://t.co/RuHGhp4
2010-09-21 23:12:32公式から、修正対応済みとの報告あり。XSS脆弱性を強硬にアピールするRainbow Twitterの開設から、悪意の第三者による自動RTスクリプトの蔓延を経て、約7時間で一旦は収拾がついたようです。まとめ→ http://htn.to/Dx11C3
2010-09-21 23:54:27