BLOGTIMES
2010/09/21

TwitterのXSS騒動

  twitter 
このエントリーをはてなブックマークに追加

Twitterで夕方頃からXSSに対するエクスプロイトによって、勝手にメッセージがポストされたり、RTされたり、画面がおかしくなったりする症状でるという症状が広範囲に発生してちょっとした騒動になっていました。

Twitterの脆弱性突くコードが拡散 Webブラウザでのアクセス自粛呼び掛け - ITmedia News

Kaspersky Labのブログによると、Twitterに存在するクロスサイトスクリプティング(XSS)の脆弱性が原因。ツイートにスクリプトを埋め込んだり、外部サイトからスクリプトを呼び出すなどしてユーザーに実行させることが可能になっている。ユーザーにツイートを連鎖させるコードも出回っており、急速に広がっているもようだ。

 コードによっては、ログイン状態でWebブラウザからTwitterにアクセスしてコードを表示させただけで自動的に実行されてしまうものもあるため、(1)ログアウトする、(2)WebブラウザのJavaScriptを無効にする、(3)WebブラウザでTwitter公式ホーム画面にアクセスしない(安全が確認されているTwitterクライアントソフトを使う)──といった対策が必要。Twitterが公式に脆弱性を修正したとアナウンスするまでは要警戒だ。

とりあえず、JavaScriptの実行が出来ないTwitterクライアントには影響はなかったようです。Twitterの公式なアナウンスは「Twitter Status - XSS attack identified and patched.」にあり、現在は修正済みであるとアナウンスされています。TLを眺めていて思ったのは、XSSがウィルスのように扱われていたり、結果的にどのような危害をもたらすか(その可能性の部分を含めて)について正しい知識を持った人が意外と少なくて、それがパニックを少し冗長したような感じがしました。今回は幸運にも修正までの時間が短かったので、混乱は短時間おさまったのが不幸中の幸いでしたが、そのあたりのリテラシーの向上も課題ですね。もちろん脆弱性がないのが一番なんですけど。


    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/3809
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン