twitter のアカウント乗っ取りが可能だったかもしれない件 - 児童小銃

実際には試してないので勘違いかもしれないけど3/9の夕方まで twitter のアカウントが乗っ取り可能だったかもしれない、という話。←特殊なケースを除いて不可能だった模様。追記参照。 「ついったー足あと帳」(http://hamachiya.com/junk/twlog/)でアクセスした人のidと発言ログを抜き出す(protectedでも!)デモをやっていたり、それがきっかけで過去に settings から id とメールアドレスを抜き出す「(元祖)ついったー足あとちょう」があった(昨日までは動作していた)のを見て、ひょっとして、と思って昨夜少し調べてみた。 去年の11月のDK祭り*1の時に、パスワードクラック以外で乗っ取り可能か検討されたことがあった。 twitterの仕様を調査した結果、仮にtwitterにXSS脆弱性などがあり、セッションハイジャックができたとすると、第三者がパスワ

[rna]

祭り前の状況を知らないのでわかりませんが、対策前に乗っ取ってセッション開始してたら対策後のパスワード変更も可能だと思います。>id:sendさん

[lan_taso]

twitterって一昔前に話題になった脆弱性問題が再燃するなぁ、全部はまちちゃんのせいな気もするけど

[makiton]

よいまとめ

[suVene]

jkondo祭りを知らなかった。

[send]

↓jkondo の件は crossdomain.xml 対策後。

[nitoyon]

誤解があるようなのでエントリにした http://d.hatena.ne.jp/nitoyon/20080310/twitter_crossdomain

[wideangle]

jkondo祭り。