*ツイッターのXSS騒動 (2010/09/21) -FrontPage --> MakisimaDiary --> 2010.09.22 -FrontPage --> TwitterNote - twitter に関するメモ --> [[MakisimaDiary20100922]] ---- ** 関連情報のブックマーク :Twitterブログ: 「マウスオーバーの」問題についての全容: http://blog.twitter.jp/2010/09/blog-post_22.html : : ツイッターの公式見解 :世界的猛威を奮ったTwitterマウスオーバー・バグはどう広まった? : ギズモード・ジャパン : http://www.gizmodo.jp/2010/09/twitterxss.html?utm_source=twitterfeed&utm_medium=twitter :Twitter Status - XSS attack identified and patched.: http://status.twitter.com/post/1161435117/xss-attack-identified-and-patched : : ツイッター ステータス(公式) :Togetter - 「今日Twitterに『&verb(RainbowTwtr)』がこんにちは!!した経緯」: http://togetter.com/li/52475 :Togetter - 「@kinugawamasato 正/純ハッカーによる 脆弱性報告と、怒りと、行動的対策要求 #hack #twitter #security」 : http://togetter.com/li/52553 :世界的猛威を奮ったTwitterマウスオーバー・バグはどう広まった? : ギズモード・ジャパン : http://www.gizmodo.jp/2010/09/twitterxss.html?utm_source=twitterfeed&utm_medium=twitter ---- **私的感想 2010/9/21、 ツイッターで クロス サイト スクリプティング (Cross Site Scripting) の騒動があった。 ツイッターの公式webサイトで &verb(JavaScript) を含んだツイートが実行されてしまう脆弱性が直っておらず、 それに業を煮やしたユーザーが実証コードのツイートを流したのがきっかけのようだ。 いったんなおしたものが、ツイッター側のバージョンアップの際に脆弱な状態に戻ってしまったらしい。 はじめはツイートの色が変わる(「レインボー」)程度だったのが、 色が変わったツイートにマウスを載せる「マウスオーバー」だけでスクリプトをツイートするようになり、 さらに、ブラウザで画面を開いただけでも操作不能・リツイート(公式 RT)するようにと スクリプトも悪質になっていった。 - ツイートに短縮 URL を使った &verb(JavaScript) のコードを埋め込む。 - www.twitter.com のサイトで表示すると、脆弱性のために、ツイートの &verb(JavaScript) がただの文字列ではなく、スクリプトとして解釈される。 - 「マウスオーバー」によりスクリプトが実行される。 -- 例えば、そのツイートの文字列に色が付く(色だけで文字が見えない)。 -- (ログインしていると)同じスクリプトをツイートする。または、公式・非公式 RT。 -- マウスオーバーは該当ツイートの箇所だけではなく、web ページ全体でマウスオーバー判定されるように進化 - フォローしているユーザーのタイムラインに表示される。 -- 同じ動作を繰り返し、急激に拡散。 影響を受けるのはツイッター公式の(PC用の)webサイトだけだったので、 モバイル用のサイトやサードパーティのサイト(「ついっぷる」など)、 各種クライアントは無事だったということである。 ただし、ユーザーがどう対処すればいいのか公式発表はなされなかったようで、 収束するまで不確実な対処方法や情報がうわさ、流言のように流れていた。 たとえば、 ブラウザでツイッターからログアウトしろ ( http://twitter.com/logout を直接アドレスバーに入力せよ)と ログアウトしても無駄だ(または、あまり効果がない)というツイートはずっと流れていた。 http://mobile.twitter.com/ は安全という情報と、このサイトもだめになったというツイートが入り乱れた (が、そのころには「ついっぷる」( http://twipple.jp/ )を使うユーザーが増えていた)。 自分が広げたスクリプト ツイートは削除できるので、 公式web以外でログインして、該当のツイートを削除せよというツイートは広く流れた。 そう言われても、ふだん web でしかアクセスしない人はどうしていいかわからないということで、ブラウザのままでウェブとしてログインできるついっぷるが選ばれたのだと思われる。 XSS なのでウィルスとは言えないのだが、ウィルスとして考え、 セキュリティ対策ソフトで検出されなかった(なぜだっ!?)というツイートも見受けた。 この脆弱性の XSS は &verb(JavaScript) を使っているので、 ブラウザの &verb(JavaScript) をオフにしろ(そうすれば大丈夫)というツイートは比較的はじめの頃から流れていた。 動作の様子をわかりやすく解説したページも登場 ( &link(2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について,http://m5s.jp/tw/xssvul/) ) 結局どのクライアント ソフトも直接の影響を受けなかったようなのだが、 感染機構とクライアントの実装が明確ではなかったため、 自分の使っているクライアント(やwebサイト)は大丈夫なのか?、 ブラウザ自体は大丈夫なのか(どう対処すればいいのか?)という発言も目立った。 特定のクライアントを名指しで使うなというツイートも流れていた。 それに対して作者が、クライアント自体は大丈夫だがリンク先を開くな、というツイートを流していた。 災害などのパニックのときの噂やデマの広がり方をかいま見たと思う。 結局、パスワードが盗まれるといった重大なことにはならず、 「いたずら」といえる程度まで収まったので一安心である (&link(「マウスオーバーの」問題についての全容,http://blog.twitter.jp/2010/09/blog-post_22.html))。 それでも、念のため、ブラウザに入っているパスワードを全部クリアして、関連サービスの連携もリセットしておこう!というツイートも流れていた。 以上、情報源はいい加減なまま確かめずに印象で書いているのであしからず。( ([[librarian]]), http://twitter.com/libra_makisima )** 関連情報:Twitterブログ: 「マウスオーバーの」問題についての全容: http://blog.twitter.jp/2010/09/blog-post_22.html: : ツイッターの公式見解:世界的猛威を奮ったTwitterマウスオーバー・バグはどう広まった? : ギズモード・ジャパン : http://www.gizmodo.jp/2010/09/twitterxss.html?utm_source=twitterfeed&utm_medium=twitter:Twitter Status - XSS attack identified and patched.: http://status.twitter.com/post/1161435117/xss-attack-identified-and-patched: : ツイッター ステータス(公式):Togetter - 「今日Twitterに『&verb(RainbowTwtr)』がこんにちは!!した経緯」: http://togetter.com/li/52475:Togetter - 「@kinugawamasato 正/純ハッカーによる 脆弱性報告と、怒りと、行動的対策要求 #hack #twitter #security」 : http://togetter.com/li/52553:世界的猛威を奮ったTwitterマウスオーバー・バグはどう広まった? : ギズモード・ジャパン : http://www.gizmodo.jp/2010/09/twitterxss.html?utm_source=twitterfeed&utm_medium=twitter([[librarian]]),( http://twitter.com/libra_makisima ) ---- (2010.09.22)