ドットインストール代表のライフハックブログ
Either email addresses are anonymous for this group or you need the view member email addresses permission to view the original message My online app http://www.neuroproductions.be/twitter_friends_network_browser/ was working just fine, but now I get a Security sandbox violation error. when I look at the crossdomain, I see it onley accept requests from twitter <cross-domain-policy> <allow-access-f
実際には試してないので勘違いかもしれないけど3/9の夕方まで twitter のアカウントが乗っ取り可能だったかもしれない、という話。←特殊なケースを除いて不可能だった模様。追記参照。 「ついったー足あと帳」(http://hamachiya.com/junk/twlog/)でアクセスした人のidと発言ログを抜き出す(protectedでも!)デモをやっていたり、それがきっかけで過去に settings から id とメールアドレスを抜き出す「(元祖)ついったー足あとちょう」があった(昨日までは動作していた)のを見て、ひょっとして、と思って昨夜少し調べてみた。 去年の11月のDK祭り*1の時に、パスワードクラック以外で乗っ取り可能か検討されたことがあった。 twitterの仕様を調査した結果、仮にtwitterにXSS脆弱性などがあり、セッションハイジャックができたとすると、第三者がパスワ
twitterはswfからクロスドメインでアクセス可能 → http://twitter.com/crossdomain.xml user_timelineは twitter にlogin 中であれば、BASIC認証なしで取得できる → Twitter API 仕様書 ↑別にAPI経由にこだわらなくても loadVarsで普通にページを読み出せばよかった つまりこんな感じの仕掛けを自分のブログやホームページ等に埋め込めば、 訪れた人の twitter id を、IPアドレスやUser agent等とあわせて知ることができる。 さらに、protectにしている人の発言を取得できることも確認。 ついでに、settingsのページからメールアドレスなんかもあわせて抜き出すことも可能。 Direct Messages の送受信履歴なんかも抜き出せることを確認した。 (追記) さきにやってた人(@n
Pure JavaScriptで出来たTwittter Reader。 http://ss-o.net/twitterreader/ ああ、むかし似たようなことをdel.icio.usでやったなあと、そこまで思ったところで、表示されているのが自分のTwitter Friendsだということに気づいてぶっ飛んだ。 これは今まで知らなかったのだけど、どうやら以下のJSONPリクエストで、いまWebサイトにアクセスして来ている人のTwitter friendsが取得できるらしい http://twitter.com/statuses/friends.json?callback=onLoadTwitterFriends かなり画期的というか挑戦的な仕様。これってほとんどGmailのCSRFのときと同じだと思うんだけどなあ。 もともとめざしてるのがオープンなものであればそれでいいのか。でもどんなサイ
ぼくはまちちゃん! こんにちはこんにちは!! このページは、twitterの実験をしていましたが公開終了しました。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く