アカウント名:
パスワード:
>脆弱性は、ツイート内のURLをリンクに変換する処理に問題があり、URLの後に一定の文字を付加することにより、Aタグに任意の属性を付加できるというもの。
どっかの誰かが「URLの後に一定の文字を付加した内容」をツイートしたことで、他の数千万のユーザーに影響が及んだってことなんすか?
(オレの場合、空送信だけでTL表示がおかしくなったので。)
ありがとうございます。つまりtwitterにクロスサイトスクリプティング脆弱性が存在している状態で
1.ある人物が、その脆弱性を利用したツイートを投稿2.上記のツイートが、他の数千万のタイムラインに出現(つまり各人のWEBブラウザ上では、勝手にRTするなど異常動作を行うJavaスクリプトが混入したhtmlが表示されている)3.1で投稿されたツイートは、twitter側のhtmlを生成するプログラム自体を書き換えているわけではない。
という理解でいいんでしょうか。
悪意あるコードが含まれているとは云えいわば単なるツイート文が、遠く離れた他の数千万の公式クライアントに影響するってのが、なかなかピンとこないのです。
> 悪意あるコードが含まれているとは云えいわば単なるツイート文が、遠く離れた他の数千万の公式クライアントに影響するってのが、なかなかピンとこないのです。
ネットの世界に、遠いも近いも関係ない。twitterの場合だと、まず「@有名人のアカウント」で例の脆弱性を悪用したツイートを送り付けて、その有名人がツイートを見てくれれば、あとは何千、何万のフォロワーに一気に拡散して一丁上がり。
世界的な拡散の経緯は、Gizmodeの記事世界的猛威を奮ったTwitterマウスオーバー・バグはどう広まった? [gizmodo.jp]が分かりやすい。技術的な説明なら、2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について [m5s.jp]や、肝心の脆弱性を突いたツイートを見たいなら、はまちさんのツイート [twitter.com]と、Togetterのまとめ [togetter.com]をどうぞ。
どうもです。ようやく理解しました。
>2.上記のツイートが、他の数千万のタイムラインに出現。いきなり出現、ではなく自動リツイートされることによりフォロワー経由で拡散していったということなんですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
実はよくわからない (スコア:0)
>脆弱性は、ツイート内のURLをリンクに変換する処理に問題があり、URLの後に一定の文字を付加することにより、Aタグに任意の属性を付加できるというもの。
どっかの誰かが「URLの後に一定の文字を付加した内容」をツイートしたことで、他の数千万のユーザーに影響が及んだってことなんすか?
(オレの場合、空送信だけでTL表示がおかしくなったので。)
Re: (スコア:0)
そういったtweetの中にアップローダとか短縮URLを使ったものがあり、アップローダやURL短縮サービスが数千万のタイムラインからDoS攻撃受けてたようなものなんで、そこが一番の被害者でしょうね。
Re: (スコア:0)
ありがとうございます。
つまりtwitterにクロスサイトスクリプティング脆弱性が存在している状態で
1.ある人物が、その脆弱性を利用したツイートを投稿
2.上記のツイートが、他の数千万のタイムラインに出現
(つまり各人のWEBブラウザ上では、勝手にRTするなど異常動作を行うJavaスクリプトが混入したhtmlが表示されている)
3.1で投稿されたツイートは、twitter側のhtmlを生成するプログラム自体を書き換えているわけではない。
という理解でいいんでしょうか。
悪意あるコードが含まれているとは云えいわば単なるツイート文が、遠く離れた他の数千万の公式クライアントに影響するってのが、なかなかピンとこないのです。
Re:実はよくわからない (スコア:2, 興味深い)
> 悪意あるコードが含まれているとは云えいわば単なるツイート文が、遠く離れた他の数千万の公式クライアントに影響するってのが、なかなかピンとこないのです。
ネットの世界に、遠いも近いも関係ない。
twitterの場合だと、まず「@有名人のアカウント」で例の脆弱性を悪用したツイートを送り付けて、その有名人がツイートを見てくれれば、あとは何千、何万のフォロワーに一気に拡散して一丁上がり。
世界的な拡散の経緯は、Gizmodeの記事世界的猛威を奮ったTwitterマウスオーバー・バグはどう広まった? [gizmodo.jp]が分かりやすい。
技術的な説明なら、2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について [m5s.jp]や、肝心の脆弱性を突いたツイートを見たいなら、はまちさんのツイート [twitter.com]と、Togetterのまとめ [togetter.com]をどうぞ。
I'm out of my mind, but feel free to leave a comment.
Re: (スコア:0)
どうもです。
ようやく理解しました。
>2.上記のツイートが、他の数千万のタイムラインに出現。
いきなり出現、ではなく自動リツイートされることによりフォロワー経由で拡散していったということなんですね。