Simon Szustkowski

Ein Blog über alles, was mir gerade so durch den Kopf geht

Sep 21, 2010

Twitter und die XSS-Sicherheitslücke

Keine breaking news mehr, aber immerhin:

Irgendwelche Vögel haben rausgefunden, dass, wenn man Tweets mit Javascript-Schnipseln drin schreibt, Twitter diesen Code nicht escaped, sondern anstandslos an die Browser der User weiterleitet, die das dann ausführen.

Das ist zumeist harmloser Quatsch, z.B. Tweets, die sich selbst retweeten, wenn man da mit der Maus drüberfährt, aber auch unschöne Sachen, z.B. werden Seiten geöffnet, die Not Safe For Work sind. Oder noch schlimmeres.

Also: Nutzt lieber einen Twitterclient, z.B. Echofon, die können nämlich kein Javascript, und zeigen die potenziell gefährlichen Tweets nur so an:

bq. http://t.co/@”onmouseover=”document.getElementById(‘status’).value=’tbubbaloo’;$(‘.status-update-form’).submit();”class=”modal-overlay”/

Wer nicht die Möglichkeit hat, einen Client zu nutzen, und Twitter bis jetzt nur per Webinterface genutzt hat, sollte zumindest heute die Finger von Twitter lassen.