いまや人によっては日常の一分になっているような大規模Webサービス、Twitterで
XSS脆弱性が見つかり今日の午後祭りのようになってました。

XSSというのについて簡単に説明すると、
(バグなどを付いて)ページを見るといかがわしいコードを実行出来るような状態にし、
第三者がページを見たときにいたずらすることです。

今回はTwitterが@の直後に"(ダブルクォート)があってもそれを無視してしまうため、
http://a.b@"〜などのように書いてやることで任意の属性を持ったaタグを
自分のツイートに混ぜれるというものでした。
例えば自分のツイートのスタイルを弄って文字サイズを大きくしたり背景を変えたり、
はたまた自分のツイートのリンクにカーソルを合わせるとダイアログを表示したり
勝手なツイートやRTをさせたりということができました。
一番厄介なのはそれらの合わせ技、リンクを画面全体の大きさかつ透明にし、
そこにカーソルを合わせるとツイートしたりしてしまうというものでした。

まあ結局運営が@"問題を修正する以外に対処法がないので
対処されるまでプチ祭になっていたのですが、
今回のことを遠目で眺めてて思ったのは、
相変わらずTwitterはデマが広がりやすいなー混乱に乗じてるからそのせいもあるかもなー
(明らかにブラウザの問題なのに、Tweenでも危険ってポストが出回っていた)
とか、
脆弱性って面倒だなー作ってる方は@"なんていちいち気に出来ねーよ
とかそんな事でした。

リアル災害だとこうした混乱は避けたほうが良く、混乱に乗じた泥棒とかが発生するものですが、
別にネット上ならどうでもよくね、何も取られないし誰も死なねーよってスタンスだったので
まあ適当に眺めつつ定期的に注意喚起だけしておきました。
さんざん注意喚起してるのに引っかかる情弱はともかく、
帰宅即わからん殺しみたいなのはかわいそうだなーと思ったので。

そんなことやってたので今日は作業が全く進みませんでした。
脆弱性しね