2010/9/21、 ツイッターで クロス サイト スクリプティング (Cross Site Scripting) の騒動があった。
ツイッターの公式webサイトで JavaScript を含んだツイートが実行されてしまう脆弱性が直っておらず、 それに業を煮やしたユーザーが実証コードのツイートを流したのがきっかけのようだ。 いったんなおしたものが、ツイッター側のバージョンアップの際に脆弱な状態に戻ってしまったらしい。 はじめはツイートの色が変わる(「レインボー」)程度だったのが、 色が変わったツイートにマウスを載せる「マウスオーバー」だけでスクリプトをツイートするようになり、 さらに、ブラウザで画面を開いただけでも操作不能・リツイート(公式 RT)するようにと スクリプトも悪質になっていった。
影響を受けるのはツイッター公式の(PC用の)webサイトだけだったので、 モバイル用のサイトやサードパーティのサイト(「ついっぷる」など)、 各種クライアントは無事だったということである。 ただし、ユーザーがどう対処すればいいのか公式発表はなされなかったようで、 収束するまで不確実な対処方法や情報がうわさ、流言のように流れていた。 たとえば、 ブラウザでツイッターからログアウトしろ ( http://twitter.com/logout を直接アドレスバーに入力せよ)と ログアウトしても無駄だ(または、あまり効果がない)というツイートはずっと流れていた。 http://mobile.twitter.com/ は安全という情報と、このサイトもだめになったというツイートが入り乱れた (が、そのころには「ついっぷる」( http://twipple.jp/ )を使うユーザーが増えていた)。
自分が広げたスクリプト ツイートは削除できるので、 公式web以外でログインして、該当のツイートを削除せよというツイートは広く流れた。 そう言われても、ふだん web でしかアクセスしない人はどうしていいかわからないということで、ブラウザのままでウェブとしてログインできるついっぷるが選ばれたのだと思われる。
XSS なのでウィルスとは言えないのだが、ウィルスとして考え、 セキュリティ対策ソフトで検出されなかった(なぜだっ!?)というツイートも見受けた。 この脆弱性の XSS は JavaScript を使っているので、 ブラウザの JavaScript をオフにしろ(そうすれば大丈夫)というツイートは比較的はじめの頃から流れていた。 動作の様子をわかりやすく解説したページも登場 ( 2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について )
結局どのクライアント ソフトも直接の影響を受けなかったようなのだが、 感染機構とクライアントの実装が明確ではなかったため、 自分の使っているクライアント(やwebサイト)は大丈夫なのか?、 ブラウザ自体は大丈夫なのか(どう対処すればいいのか?)という発言も目立った。
特定のクライアントを名指しで使うなというツイートも流れていた。 それに対して作者が、クライアント自体は大丈夫だがリンク先を開くな、というツイートを流していた。
災害などのパニックのときの噂やデマの広がり方をかいま見たと思う。
結局、パスワードが盗まれるといった重大なことにはならず、 「いたずら」といえる程度まで収まったので一安心である (「マウスオーバーの」問題についての全容)。 それでも、念のため、ブラウザに入っているパスワードを全部クリアして、関連サービスの連携もリセットしておこう!というツイートも流れていた。
以上、情報源はいい加減なまま確かめずに印象で書いているのであしからず。 (librarian),( http://twitter.com/libra_makisima )