2010/09/21 に RainbowTwtr から始まった脆弱性騒動に関して,Twitterの脆弱性騒動でブラウザに感謝した - 誠編集長ヨシオカが日々考えていること という誤解を招き兼ねない記事が書かれ,OperaJP 公式アカウントが反応し,公式非公式を問わず RT により拡散し,「Opera最強伝説」「さすがOpera」などと危うげな反応が一週間近く経ってからも観測されている.

今更,こんなことを書いても遅きに失した感はあるが,Twitter の脆弱性騒動での個人の幸運な体験談が誤解と共に拡散し,あたかも XSS に対して効果があるという「最強伝説」が流布されるのは誰も幸せにしない.あの日 Twitter に起きたこと,Opera の alert ダイアログの意味など少しまとめておく.

2010/09/21 のTwitter.com に起きたこと

Tweet 内の文字列を URL とみなしてリンクにする機能にバグがあり,URL の後に続くスラッシュとスラッシュの間にある@の後のダブルクォートがエスケープされず 不正な HTML が生成されるようになっていた.

このバグの実証コードとして,@kinugawamasato により,@RainbowTwtr が公開され,背景色を変えるデモともにこの脆弱性の存在が広く流布されることとなった.

実証コードでは, style 属性が挿入され tweet の背景色が変更される程度であったが,実際にはほとんど任意の文字列の挿入が可能であり,すぐさま改変され フォントサイズが変更されたり,onmouseover 属性などで JavaScript のコード片が挿入されたりしたバージョンが出現し,特に jQuery を用いることでほとんど無制限に JavaScript を呼び出すバージョンなどが出現していた.

その後 RT することで自己増殖するバージョンが出現し爆発的に広まることになったとされる

この自己増殖するバージョンが逆輸入されてくる前に,日本人ユーザには @Hamachiya2 による「こんにちはこんにちは」 が出回っていたと観測されている

誠編集長の記事で間違っていること正しかったこと

Twitterの脆弱性騒動でブラウザに感謝した - 誠編集長ヨシオカが日々考えていること では,

資料