Twitterの重大なセキュリティ問題がまだ未解決状態のままだ

次の記事

不快感を与えずにフレンドリクエストを拒否するには–Facebookが永遠に繰り返すユーザ教育のテーマ

昨日(米国時間8/25)イギリスのSEO屋Dave Naylorが書いた記事が、大きなニュースになった。その記事は、クロスサイトスクリプティングに対するTwitterの深刻な脆弱性を詳しく述べている。彼は‘つぶやき’の中の、通常はアプリケーションデベロッパが何かの製品のWebサイトへのリンクを書くような欄にJavaScriptのコードを書くという簡単な方法で、攻撃に成功した。このバグを利用すると、セッションのクッキーを盗む、Twitterワームを作る、あるいは不注意な訪問者にマルウェアを感染させるなど、ありとあらゆる悪事が可能だ。だからこれは、重大なセキュリティ問題と呼んでも過言ではない。

例によって、このニュースを知ったTwitterはバグにパッチを当てて対策を講じた。Twitter OperationsのJohn Adamsはわざわざ、Naylorのブログのコメントで、この記事が発表された直後に穴はふさがれたと述べた。

ところが、穴はまだあいていた。

今日(米国時間8/26)Naylorは昨日のブログ記事の続きとして、バグの悪用はまだ十分にできるという正しい主張を書いた。その証明として彼はまたTwitterのダミーアカウントを作った…Webサイトからこのリンクを訪れると(無害な)ダイアログボックスがポップアップする。読者がこの記事を読んでる時点では、Naylorが最初に作ったダミーアカウントの場合にそうだったように、Twitterはすでにこのアカウントを閉鎖していると思うから、このプロフィールを訪れたときに起きる(起きた)ことのスクリーンショットを記事の冒頭に載せておこう。

Naylorはこう書いている:

ちょっと技術のある人ならほんの数分で簡単なTwitterアプリケーションを作り、それを使って‘つぶやき’を送り始めることができる。下に書いたような簡単なやり方で、ほかのTwitterユーザがこれらの‘つぶやき’を一つでも見てからTwitterにログインしたら、その人のアカウントが盗まれるようになる。

実際に想像してみてほしい。これらの‘つぶやき’のたった一つを見ただけで、そのユーザのブラウザがコードを実行し、そのコードはユーザに成り代わってブラウザにできることなら何でもやる。ユーザをポルノのサイトに連れて行くだけの、人畜無害なことかもしれない。あるいはユーザの‘つぶやき’を全部削除するかもしれない。ユーザの友だち全員にメッセージを送るかな? フォロワーを全員消したり、もっとひどい場合は、そのユーザのログイン情報を別のサイトの誰かに送って、自由に使えるようにするかもしれない。

私の意見としては、Twitterの技術者たちがNaylorと接触して、悪用の仕方の詳細や正しい対策について学ばなかったのは許し難い。せっかく、SEOの専門家が問題を指摘してくれているのに。どうやらTwitterの連中は、セキュリティ上の問題点をよく理解しないまま対策に取り組んだようだ:

彼らが考えた対策は、アドレスボックスにスペースを入れないことだった。スペースか。それ以外はなんでもOKというわけだ。

サードパーティ製のクライアントを使ってTwitterにアクセスしても安全とは思うが、でも、なるべく多くの人が使っているクライアントを使うことと、明日と明後日の二日ぐらいはTwitterのWebサイトを訪ねないほうがいいだろう。どうしても訪ねる人は、知らない人のTwitterプロフィールへのリンクはクリックしないこと。そのリンクが、信頼できる知人の‘つぶやき’の中などにあっても、クリックしてはいけない。そして、‘つぶやき’を送る怪しげなアプリケーションには気をつけよう。

私はTwitterに連絡して、セキュリティの脅威がまだ存在することを伝えた。早めに、正しい対策を講じてほしいね。

[原文へ]

(翻訳:iwatani(a.k.a. hiwa))

“Twitterの重大なセキュリティ問題がまだ未解決状態のままだ” への19件のフィードバック

  1. […] Twitterの重大なセキュリティ問題がまだ未解決状態のままだ Twitterの重大なセキュリティ問題がまだ未解決状態のままだ […]

  2. […] Twitterの重大なセキュリティ問題がまだ未解決状態のままだ Twitterの重大なセキュリティ問題がまだ未解決状態のままだ […]

  3. […] Twitterの重大なセキュリティ問題がまだ未解決状態のままだ […]

  4. […] nobilog2: 9〜10月期のイベント案内(+日本の製造業を変えるのはTCかも!?の概略) イベント! iPhoneゲーム開発本 iPhone Games Projects どんなことが書いてあるかさらっと解説 アスファルト5 いつものゲーム開始時のトレーラーだからね。 from iPhone video, Asphalt 5, Pocket Gamer ngmoshow 07 — part 3: Eliminate 普通のFPSっぽい。 韓国でiPhone発売か | iPhone 3G Wiki blog どうなんですかね? iPhoneで恋人候補の身元調査、「デートチェック」発表 犯罪歴から資産・配偶者まで 国際ニュース : AFPBB News トブ iPhone: iPhoneCUG第7回ミーティングの写真 トブ iPhone: Daily Topic 0923-24 Apple NOIR » iPhone CUG 第7回ミーティング in Kyoto #後篇 GoogleのGmailがiPhoneでのプッシュ配信に対応 | 平成鸚鵡籠中記 iPhoneレイアウトにAdMob広告を導入しました。 - MACお宝鑑定団 blog(羅針盤) admob TwitterがRSSにとって代わる3つの障壁と追い風 – 足ることを知らず~Don’t feel satisfied ~ 私にとっては完全に別。そんな無理して終わったとかいうこともないと思う。 [を] iPhoneアプリ「音声認識めーる」であこがれの口述筆記ライフが!? Drag-and-drop iPhone game maker GameSalad Creator is released, news, GameSalad Creator, PocketGamer.biz ドラッグ&ドロップで作れるiPhoneゲーム 覚醒する?Club iPhone 3GS:シューティング!「SkyDragon」クリアレポート きれいですね。 AppBankが再び動いた!AppBank視聴専用アプリ『AppBank.net Mobile…|PSP-LIFE-アメブロ版 ありがとう! Win Benny Gold’s “Argyle” Skin For Your iPhone « : App Advice これほしい、 Twitterの重大なセキュリティ問題がまだ未解決状態のままだ […]

  5. nitGreen SEO より:

    Robin Wauters,

    There was issue about security in twitter,

    But now its resolved ,

    Thanks for sharing this article,

  6. nitGreen SEO より:

    Robin Wauters,

    There was issue about security in twitter,

    But now its resolved ,

    Thanks for sharing this article,

  7. nitGreen SEO より:

    Robin Wauters,

    There was issue about security in twitter,

    But now its resolved ,

    Thanks for sharing this article,

  8. web design uk より:

    I m
    impress, nice work.

  9. xerox toner より:

    Really
    nice tips and good informative article to talk about. Thanks!

  10. I love
    to spend time on the internet, Blog posting is pretty new for me but thanks
    for posting!!

  11. I love
    to spend time on the internet, Blog posting is pretty new for me but thanks
    for posting!!

  12. I love
    to spend time on the internet, Blog posting is pretty new for me but thanks
    for posting!!

  13. I love
    to spend time on the internet, Blog posting is pretty new for me but thanks
    for posting!!

  14. I love
    to spend time on the internet, Blog posting is pretty new for me but thanks
    for posting!!

  15. I love
    to spend time on the internet, Blog posting is pretty new for me but thanks
    for posting!!

  16. I love
    to spend time on the internet, Blog posting is pretty new for me but thanks
    for posting!!

  17. I love
    to spend time on the internet, Blog posting is pretty new for me but thanks
    for posting!!

  18. I love
    to spend time on the internet, Blog posting is pretty new for me but thanks
    for posting!!

  19. magento Expert より:

    Really a
    nice article.. i like your work

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中