ニュー速 Twitter 部
1 :以下、名無しにかわりましてVIPが実況します:
Twitterには深刻な脆弱性があり、ユーザーが特定のつぶやきを見ただけでアカウントを乗っ取られてしまう恐れがある――。
英国のSEO情報ブログにそんな情報が掲載された。
この情報は、SEOサービスの専門家デビッド・ネイラー氏のブログに8月25〜26日に掲載された。
それによると、脆弱性はサードパーティーのアプリケーションに起因する。
Twitterのつぶやきは、例えばTweetDeck、TwitterFox、HootSuiteといった専用アプリケーションから投稿することもでき、
この場合は使われたアプリケーション名がつぶやきの下に表示される。
しかしこの部分は、外部のアプリケーション開発者がTwitterのフォームに入力した内容がそのまま反映され、
例えばHTMLコードや JavaScriptのscriptタグでさえも表示させることができてしまうという。
これを悪用すれば、ユーザーを別のページに誘導したり、ユーザーのアカウント情報を変更させたり、
フォロワーを削除するといったことができてしまうとブログ筆者は解説する。
Twitterは、Webアプリケーション開発において、外部から提供されたデータを盲目的に信頼するという基本的な過ちを
犯したと筆者は断言。 Twitterでは指摘を受けて問題を解決したとしているが、同社の取った措置では
解決になっていないとブログ筆者は反論している。
http://www.itmedia.co.jp/news/articles/0908/27/news025.html
英国のSEO情報ブログにそんな情報が掲載された。
この情報は、SEOサービスの専門家デビッド・ネイラー氏のブログに8月25〜26日に掲載された。
それによると、脆弱性はサードパーティーのアプリケーションに起因する。
Twitterのつぶやきは、例えばTweetDeck、TwitterFox、HootSuiteといった専用アプリケーションから投稿することもでき、
この場合は使われたアプリケーション名がつぶやきの下に表示される。
しかしこの部分は、外部のアプリケーション開発者がTwitterのフォームに入力した内容がそのまま反映され、
例えばHTMLコードや JavaScriptのscriptタグでさえも表示させることができてしまうという。
これを悪用すれば、ユーザーを別のページに誘導したり、ユーザーのアカウント情報を変更させたり、
フォロワーを削除するといったことができてしまうとブログ筆者は解説する。
Twitterは、Webアプリケーション開発において、外部から提供されたデータを盲目的に信頼するという基本的な過ちを
犯したと筆者は断言。 Twitterでは指摘を受けて問題を解決したとしているが、同社の取った措置では
解決になっていないとブログ筆者は反論している。
http://www.itmedia.co.jp/news/articles/0908/27/news025.html
|
|
|
2 :以下、名無しにかわりましてVIPが実況します:2009/08/28(金) 01:19:20.04 ID:kBM9zMx60
ゴバーク
3 :以下、名無しにかわりましてVIPが実況します:2009/08/28(金) 01:19:56.23 ID:Tq0izBDA0
どうせ普段はなんじつ来ないのにドリクラとかみてたんだろw
4 :ょぅι゙ょゃ<,ぅ、゙っ ◆JwH018X4.6 :2009/08/28(金) 01:23:33.81 ID:kBM9zMx60 BE:110393524-PLT(16111)
いや、3年以上放置配信してるよw
All Genre Shuffle Play 24hours
http://yakubutu.ddo.jp:8000/
http://www.lastfm.jp/user/youjoyakubutu
All Genre Shuffle Play 24hours
http://yakubutu.ddo.jp:8000/
http://www.lastfm.jp/user/youjoyakubutu
5 :以下、名無しにかわりましてVIPが実況します:2009/08/28(金) 01:39:32.31 ID:FnXGSQo30
ν速からきました
6 :ょぅι゙ょゃ<,ぅ、゙っ ◆JwH018X4.6 :2009/08/28(金) 03:33:59.57 ID:kBM9zMx60 BE:220785582-PLT(16111)
避難所にしとくってのもいいな
いや、落ちるだろ