Twitterにはまだ、XSSの脆弱性が残っている? 要注意(9/23 3:41追記　対応中)

多数のアクセスをいただいた昨日のエントリー「【緊急】Twitter公式Webから今すぐログオフを。XSSの問題（9/21 20時JST）（追記：23時対応済み）」の更に続報です。

問題を指摘されたMasato Kinugawa氏が、もっと前に報告済みのXSS（クロスサイトスクリプティング）の問題はまだ修正されていないと指摘されています。

Twitter / Masato Kinugawa: 一度は修正したと公式が言ってるけど僕は色を変化させた ... via kwout

これは、21日に問題となって広まったXSS問題をTwitter.comは修正済みだが、それ以前に指摘していた問題については対処されていないという意図だそうです。

教訓：XSS問題がひとつ解決しても類似の問題が複数残る可能性が高い：
Kinugasa氏のブログを見ると、XSSの問題はひとつつぶしても関連して様々なケースが残っていることが分かります。私も開発者時代の経験で身にしみているのですが、何か問題が起きた時は似た問題が残っている可能性が高いものです。

というのも、あることが危険とか間違っているとか知らずに書いたコードには、似たような問題が残りがちなためです。

Twitter.com のWebアクセスは9/22現在で広く知られる脆弱性はありませんが、報告された方が未解決だと指摘されている以上まだ問題は残っていると考えるべきでしょう。当面は脆弱性の情報に注意してTwitterを使う必要がありそうです。

9/23　3：41　追記：
Twitterのops　（オペレーション）マネージャーのnetik (John Adams)氏に連絡がとれ対応が始まっている模様です。放置されて悪用という最悪の事態は免れている模様です。脆弱性の報告を誠実に受け対応する体制がWebサービスにおいては重要だと改めて感じました。

Twitter / John Adams: @kinugawamasato ok, we're ... via kwout

>>>>>> ツイッターはネットマーケティングとサッカーネタを中心に頻繁に書いています。是非フォローして、交流を広げる一助にお使いくだ さい。
http://twitter.com/sakamotoh

お断り：
本 ブログでの坂本英樹による投稿やコメン トは、あくまで個人の主観に基づくものです。現在および過去の勤務先の意見や見解を表すものではありません。