http://j.mp/bYKuKS RT @kiina02: 【拡散希望】危険⇒PC公式twitter、twitter.web、Tween、twitter.com 安全⇒ついっぷる、モバツイ、ゆびったー、などの非公式だそうです。 変なリンクを押さない限り安全らしいです。
2010-09-21 20:29:14クリティカルな問題でありながら報告後長らく修正されなかったこと、さらにツイッター側が自ら脆弱性を公開したままにしており問題意識があまりにも低いことなどを考慮して、背後で巧妙に悪用されるよりは早急に問題の重大さを認識させ対策させた方がいいだろうという判断で虹を架けさせて頂きました
2010-09-21 19:55:39【重要】 (緊急情報の為、手動で投稿します) 只今、XSSの脆弱性により、Twitter公式WebからTwitterを利用すると不本意のツイートやRTをされる可能性があります。Twitter.comを利用している方は、すぐにログアウトして下さい。公式Web以外を使用してください。
2010-09-21 19:45:22【重要】 (緊急情報の為、手動で投稿します) 只今、XSSの脆弱性により、Twitter公式WebからTwitterを利用すると不本意のツイートやRTをされる可能性があります。Twitter.comを利用している方は、すぐにログアウトして下さい。公式Web以外を使用してください。
2010-09-21 19:45:04Twitterのダイレクトメッセージはよく公開ツイートになってしまう–CEOのEvan Williamsも犠牲者に http://bit.ly/d236SI
2010-09-21 19:33:44Togetter - 「『しばらくWebからTwitterのhomeを見てはいけない!』 Twitter XSSテストに巻き込まれた人、先頭から」 http://bit.ly/bKUcpA
2010-09-21 19:33:44これは2週間前の記事。9/8時点でTwitter側は修正対応した、って言ってたけど、まだ穴があったんだね。 RT @cot_ce: TwitterのXSS脆弱性突いてCookieを盗む攻撃、Kasperskyが報告 http://bit.ly/cQUEdF
2010-09-21 19:26:13ただいまTwitterのWebページのほうで脆弱性が見つかってて、リンクにマウス乗せるだけで何か投稿されたりとかちょっと危ないこと起こる危険性あるので、しばらくの間クライアント経由でのアクセスオススメですよー
2010-09-21 19:06:45怪しいツイートに近寄らないと言っても、フォロワーからのRTなどで勝手にタイムラインに飛び込んでくるので、一番の対策はPCやiPhoneのWebブラウザからはTwitterを見ないこと。これを機に、クライアントアプリを導入してみると吉かも。
2010-09-21 18:54:57twitterの140文字の投稿文の中で、JavascriptやCSSが使えるセキュリティホールが見つかったみたいですね。背景色を変えて遊ぶぐらいならいいけど、危険なものも作れそうなので、対応が済むまでは怪しいツイートには近寄らない方がいいかも。
2010-09-21 18:42:51さきほどtwitterのXSSで遊んでいた人のホームがtechnically wrongが出て見れない状況になってるようです。虹色ツイートの遊びすぎに要注意。
2010-09-21 18:42:04【ここまでのまとめ】TwitterのWebにXSS発覚→色を変えたりする人登場→小池さんが文字消したり、はまちちゃんが勝手にツイートさせたりと大荒れに→XSS使った人のHOMEが片っ端から幻想送りに(イマココ)
2010-09-21 18:40:01とりあえずwindow.alertがonmouseoverで開くところまでは確認した。それ以上は怖いのでやめとく。
2010-09-21 18:38:24[New]: Twitterのダイレクトメッセージはよく公開ツイートになってしまう--CEOのEvan Williamsも犠牲者に http://bit.ly/aFop5U
2010-09-21 18:23:21どちらにせよ虹色を表示させるツイートはWeb以外のtwitterツールを見ている人にとって端から見ると荒らしにしか見えない感じがするから、何度か続けていると不快に思ったユーザーがリムーブしちゃうだろうからフォロワーが減るかもね。
2010-09-21 18:19:51#つけたのはクリックしてちゃんと飛べるようにするためであって#はXSSに必要ないです。URLの後に続くスラッシュとスラッシュの間にある@の後のダブルクォートがエスケープされずにタグの中に入る。 http://example.com/@"/
2010-09-21 18:16:08なるほどなるほど、twitter.com内のIDアカウントに「#@」をつけるとハッシュタグと返信、そして外部URL絡みで不具合が発生してaタグで囲んでいる状態になると。aタグ内の命令であればなんでもできるからスタイルシートやjavascriptが動作可能なわけね。
2010-09-21 18:13:41RainbowTwtrって何事かと思ったら書き込んだCSSで色を再現してるわけね、これtwitterの穴を突いてるんじゃないのかしら。
2010-09-21 17:58:50そんな訳でRainbow Twitterをリリースしました。各自RTしてタイムラインをカラフルにしましょう!!!(新Twitterには対応していません) http://twitter.com/rainbowtwtr
2010-09-21 16:37:40もう1ヵ月経つので言うけど、このXSS-after-@ issues、僕が8月14日に報告したものなんだけどなんでold Twitterで修正されてないのにTwitterの中の人自ら丸見えにさせてるの? http://bit.ly/aDhTs4
2010-09-21 16:37:04