TwitterのXSS騒動

Twitter迅速な対応はお見事。

こんな辺境のブログをご覧の皆さんに今さらご説明するまでもなく、ブログに代わってインターネット上のコミュニケーションや情報発信の主役となっているTwitterですが、たまのメンテナンスの時にはとたんに手持ち無沙汰になってしまう依存症の方も多いのではないでしょうか。今ひとつ安定感に欠けるのが難ですが、逆に素朴な感じがしていい…なんていうことはないでしょうね。

そのTwitterに昨日、クロスサイトスクリプティング脆弱性があることが明らかになり、ユーザーの間ではちょっとした騒ぎになっていたようです。しかし、その対策は速やかに行われ、認知から4時間で主要因を解決、6時間半後には関連する問題まで完全に解決したとのことです。また、今のところさほど大きな被害も伝えられておらず、スピードが奏功したということではないかと思います。

ところで、クロスサイトスクリプティング、略してXSSとはいったい何なのか、ちゃんと理解出来ている人はどれほどいるのでしょうか。たまに聞く言葉なので漠然と「危ない」ということは分かっていても、間違った対応をしてしまっている人がいるのではないかと、今回の騒ぎの中で感じました。

細かい説明はWikipediaやあちらこちらにあるので見ていただければと思いますが、もちろんTwitter特有のものではなく、ユーザーに入力させた文字列をそのまま表示するコメント欄などを持つウェブサイトでその処理に漏れがあったときに陥る問題です。入力された文字列を適切に処理せずそのまま表示するようになっていると、プログラムを埋め込まれたときそれがブラウザにより実行されてしまい、ウェブサイトの運営者の意図とは関係の無い処理が行われてしまうことが起こりえます。それが悪意を持つものであると情報の流出などにつながるということなのですが、結局それが動作するのはそのウェブサイトにアクセスした時ということに注意しなければなりません。

要するに、そのウェブサイトにアクセスしないということがユーザとしての最良の対応と言えるはずです。しかしながら「ログアウトした方がいい」というような情報が一人歩きしたようで、ログアウトしようとTwitterのウェブサイトにアクセスして「ログアウトもできない」というような声が上がっていました。ログアウトするためにちゃんとログアウト用のURLにアクセスしていればよいのですが、普段どおり自分のホームを表示してからログアウトしようとしていては全く意味がなく、その時点ですでに悪意を持つプログラムが実行されてしまっている可能性があります。

結局こういったことは知らなければ仕方が無いことなのですが、インターネットが広く一般に使われるようになったのは良いものの、然るべき教育が行われないまま使われてしまっていることが問題なのでしょう。単に利用するだけならば誰でも使ってみればそのうち分かるものですが、脆弱性への対応などについては仕組みを理解していないと難しいのではないでしょうか。免許制にすべき、などという極端な意見もあるようですが、大きな被害が発生する前に何らかの対応が必要かもしれません。

コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

スパム対策のため日本語が含まれない投稿は無視されますのでご注意ください。

Social Share Buttons and Icons powered by Ultimatelysocial
RSS
Instagram
Mastodon
%d