140文字でXSS攻撃とは匠の技だな(笑) [IT]
なんか大騒ぎになったみたいですね。
私はその時間帯にTwitterのWebサイトにアクセスしていないので、無問題でしたが・・・
しかしTwitterでXSS攻撃とは盲点でしたね。
140文字の制限があるから大したコードは書けないと思っていたよ。
ってか、Twitter程のメジャーなサイトならXSS対策くらい当然行っていると思っていたし(笑)
しかし、裏を返せば今までは例えばHTMLのタグを書く事でフォント大きくしたりできたって事かな?
Twitter程のメジャーなサイトだからXSS対策は当然行っていると思っていたし、そもそも140文字しか書けないから、HTMLのタグとか書こうとも思わなかったですよ(笑)
どうやってXSSしたのかちょっと興味ありますね。
多分匠の技だろうし(笑)
おはようございます。
何と、Twitterが危険とは!?
まあ、アカウントはもう1年弱位保有していますが、
完全に停止状態ですので、問題無しですが(笑)
by perseus (2010-09-23 11:39)
perseusさん。ご訪問&nice&コメントありがとうございます。
XSSは出力文字列を置換してHTMLと解釈されないようにしてくれるライブラリを噛ませば良いだけなので、Twitterのようにシンプルな画面のWebサイトなら対策は簡単なんですよ。
なので、短時間で解決したのでしょう。
しかし、TwitterのWebサイトともなると相当なトラフィックでしょうから、今までは意図的にライブラリを噛ましていなかったのかもしれないですね。
置換処理にはCPUやメモリを使う訳ですから、Twitter程のサイトになると性能上バカにできない処理なのかもしれないですからね。
ハイトラフィックを処理するサイトは難しいですねぇ・・・
by marbee (2010-09-23 18:34)
これが原因だったのかあ。
私も公式サイトにアクセスした際に
エラーメッセージが出て固まったんですよね。
あとで見たら、そのときにHTMLタグ?が
勝手につぶやかれてました。
被害がそれだけだったら、かわいいもんなんですが。
by Kilroy (2010-09-25 07:29)
Kilroyさん。ご訪問&nice&コメントありがとうございます。
被害に会われましたか!!
大した被害が無くて良かったですね。
by marbee (2010-09-25 11:17)