В Twitter устранили серьёзную уязвимость Михаил Карпов
В Twitter устранили серьёзную уязвимость
Михаил Карпов
ОпубликованоМихаил Карпов
Почти каждый пользователь сервиса коротких сообщений Twitter, которому посчастливилось зайти на сайт Twitter.com 21 сентября 2010 года обнаруживал некоторые странности в работе ресурса. Так, страница могла затемняться, а с учётной записи отправлялись странные ретвиты. Некоторым повезло ещё меньше — им приходили ссылки на порносайты и прочий спам.
Уязвимость позволяла осуществлять типичный межсайтовый скриптинг, а именно встраивать в твиты в том числе и джаваскрипты которые затем могли творить практически всё что угодно, в том числе рассылать новые твиты со встроенными джаваскриптами.
Проблема заключалась в следующем: в Twitter с его ограничениями на длину каждого твита (140 знаков) используется техника под названием сокращение URL, так что длинные адреса страниц в интернете выводятся в виде очень коротких кликабельных ссылок.
Как правило, веб-приложения должны проверять текст, поступающий из недостоверных источников, на безопасность, прежде чем выводить его пользователям. В данном случае такая проверка должным образом не осуществлялась.
И если пользователи вводили URL, содержащий символ "@", то Twitter интерпретировал его неверно, так что следующая за "@" часть введённой ссылки могла превращаться в HTML-код, который мог содержать в том числе и джаваскрипты. Этот скрипт интегрировался в страницу на Twitter.com и дальше мог делать всё, на что джаваскрипты в принципе способны.
Как можно использовать эту уязвимость наглядно показал пользователь Twitter Магнус Хольм. В своём аккаунте в Twitter, Хольм написал: «Это не я нашёл XSS-дыру. Я просто написал червя».
Эта уязвимость, впрочем, присутствовала только в старом дизайне сайта. Сейчас пользователей постепенно переводят на новый, однако делается это не за один день. Клиентские приложения эта проблема тоже не затронула.
Сейчас в Twitter исправили ошибку, и на сайт снова можно заходить не опасаясь какого-либо неприятного сюрприза.
Это уже не первый случай, когда сервис испытывает подобные проблемы. В апреле 2009 года аналогичная ситуация уже возникала — из-за другой уязвимости.
Случившееся 21 сентября вновь пробуждает беспокойство о безопасности Twitter, ведь сейчас было доказано, что червь может практически мгновенно распространиться по сайту, общая аудитория которого по размерам превосходит численность населения многих стран мира. Не побегут ли напуганные пользователи с ресурса?
Вряд ли. Наиболее вероятно, что пострадавшие забудут об этой проблеме на следующий день. Впрочем, пока что Twitter везёт — никакая особо вредоносная информация с помощью эксплойтов пока не распространялась. В любом случае, администрации ресурса определённо есть над чем задуматься.
К оглавлению
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Новый мобильный клиент Twitter показывает видео, твиты о телевидении и местные новости Михаил Карпов
Новый мобильный клиент Twitter показывает видео, твиты о телевидении и местные новости Михаил Карпов Опубликовано 20 ноября 2013 Сервис микроблогов Twitter обновил свои приложения для iOS и Android. В них появились новые поисковые фильтры, а также возможность
Как выживает The Pirate Bay Михаил Карпов
Как выживает The Pirate Bay Михаил Карпов Опубликовано 18 мая 2010 года Сайт The Pirate Bay пережил очередное отключение – 17 мая 2010 года он ушёл в оффлайн, а 18 мая уже вернулся к жизни. По слухам, хостинг пиратскому сайту теперь будет предоставлять шведская
Февральский приз Михаил Карпов
Февральский приз Михаил Карпов Редакция «Компьютерры» рада сообщить о вручении приза за лучшую читательскую статью, опубликованную в феврале. Ею стала заметка Александра Клименкова "Судоку: магия чисел", посвящённая, как нетрудно догадаться, игре судоку.Александр
Злоключения марсоходов Михаил Карпов
Злоключения марсоходов Михаил Карпов Марсоход Opportunity празднует своего рода юбилей: длина пройденного им пути достигла 20 км. Он проехал по пескам Марса дальше, чем любое другое колёсное средство передвижения, добравшееся до этой планеты.На первый взгляд, его рекорд может
Михаил Карпов Будущее Интернета
Михаил Карпов Будущее Интернета Десять лет назад Интернета в России не было. Как же так, спросите вы, вроде бы даже World Wide Web уже в течение пяти лет существовал, да и провайдеров куча была. Но нет, не было у нас Интернета. Конечно, какой-нибудь обладатель модема раз в месяц
Новая экзопланета Михаил Карпов
Новая экзопланета Михаил Карпов Когда меня попросили написать о том, какое событие 2009 года я считаю ключевым, сомнений в ответе не было. Конечно, я мог бы вспомнить про чудесное выздоровление главы Apple Стива Джобса после удачной пересадки печени, но кто такой Джобс и что
Глава Twitter рассказал об информационной перегрузке Михаил Карпов
Глава Twitter рассказал об информационной перегрузке Михаил Карпов ОпубликованоМихаил Карпов На конференции Girls in Tech в Сан-Франциско создатель сервиса Twitter, Эван Уильямс, рассказал про своё детище и про то, как оно позволяет справляться с
Некролог Second Life Михаил Карпов
Некролог Second Life Михаил Карпов Опубликовано 11 июня 2010 года Компания Linden Labs, создатель виртуального онлайнового мира Second Life, объявила о реструктуризации: будет уволено 30% сотрудников. Делается это, согласно официальной позиции представителей фирмы,
Анонимусы: кто они? Михаил Карпов
Анонимусы: кто они? Михаил Карпов Опубликовано 10 декабря 2010 года Девятого декабря у американских платёжных систем был плохой день: сайты Macstercard, Visa и Paypal лежали и платежи через интернет проходили далеко не всегда. Сайт американского сенатора Джо
Утка по-пекински Михаил Карпов
Утка по-пекински Михаил Карпов Опубликовано 02 февраля 2011 года Пассажирский авиалайнер совершает посадку в аэропорту Шанхая Пудон. В спинки кресел самолёта встроены информационные терминалы — с помощью них можно смотреть фильмы, играть в игры,
Софт: Converter Plus для iPhone Михаил Карпов
Софт: Converter Plus для iPhone Михаил Карпов Опубликовано 14 июля 2010 года Современному человеку постоянно приходится совершать какие-нибудь подсчёты, причём обычно очень однообразные. Например, высчитать, сколько оставить чаевых официанту в ресторане, или
В плеере Flash обнаружена уязвимость Михаил Карпов
В плеере Flash обнаружена уязвимость Михаил Карпов ОпубликованоМихаил Карпов Компания Adobe предупреждает о новой критической уязвимости в плагине-плеере Flash, которой уже активно пользуются злоумышленники. В открытом письме от представителей
В Twitter появятся картинки и видео Михаил Карпов
В Twitter появятся картинки и видео Михаил Карпов ОпубликованоМихаил Карпов Интерфейс сервиса коротких сообщений Twitter будет обновлён. Теперь информация будет подаваться на двух стоящих рядом панелях. На правой, помимо прочего, будут отображаться
Readitorial: Августовский приз Михаил Карпов
Readitorial: Августовский приз Михаил Карпов ОпубликованоМихаил Карпов Приз за лучшую читательскую статью августа получает Юрий Гуськов. Его материал под названием «Идентификация, абстрагирование, смысл» вполне сойдёт за небольшую научную работу —
Приложение Twitter для Android станет совершенно другим Михаил Карпов
Приложение Twitter для Android станет совершенно другим Михаил Карпов Опубликовано 13 сентября 2013 Приложение Twitter для Android оставалось относительно неизменным в течение нескольких лет. Вкладки навигации были расположены сверху ленты постов друзей.
У популярного клиента Twitter Tweetbot появилась интересная новая возможность Михаил Карпов
У популярного клиента Twitter Tweetbot появилась интересная новая возможность Михаил Карпов Опубликовано 24 апреля 2013Tweetbot — это один из самых популярных iOS-клиентов для Twitter. Недавно он был обновлён. Теперь с помощью него можно просматривать свою ленту совершенно по-другому.