誠ブログは2015年4月6日に「オルタナティブ・ブログ」になりました。
各ブロガーの新規エントリーは「オルタナティブ・ブログ」でご覧ください。
Twitterの脆弱性騒動でブラウザに感謝した
誠編集長ヨシオカが日々考えていること
Twitterの脆弱性騒動でブラウザに感謝した
Business Media 誠で編集長をしています。本ブログ&Twitterでは、Webメディアや紙メディア、ネットビジネス、携帯電話、非接触ICなどについての話題が中心になる予定。
昨日(9月21日)、Twitterのタイムラインが大騒ぎになっていました。明らかに本意ではないはずの数種類のTweet(むきだしのJavaScriptのコード)が大量に流れていたのです(=私がフォローしている人たちがずいぶん被害にあっていた、ということ)。
このJavaScriptがなかなか強力でして、Webブラウザで http://twitter.com/ にアクセスし、Twitterにログインした状態でコード上にマウスを載せると、意図しない投稿やRTをしてしまう、というもの。本来TwitterではJavaScriptを含む投稿はできないようになっていたはずなのですが、Twitterの脆弱性を利用して悪意のあるJavaScriptを仕込んだ人がいたのですね。
ITmediaでも昨夜、本件についての速報記事を載せています。→「Twitterの脆弱性突くコードが拡散 Webブラウザでのアクセス自粛呼び掛け」
この説明ではなんのことやら...という方はこちらの方のまとめが分かりやすいと思うので読んでみてください→「2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について」
☆
今回の脆弱性騒動ですが、被害にあったのは(1)WebブラウザでTwitterにログインし (2)該当するコードをマウスで触った 人です。実際、私の周りでもたくさんの人が引っかかっていました(実は社内でもけっこう...)。私はWebブラウザでTwitterを見ているにもかかわらず難を逃れたのですが、それは他の人よりも詳しい知識があったから......という理由ではなくて、Webブラウザに助けられただけだったりします。
上で紹介した「2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について」で、じっさいにマウスオーバーするとメッセージを表示するJavaScriptの例が挙げられています。これを、InternetExplorerで表示するとこうなります。
で、私はOperaというブラウザを使っているのですが、Operaだと
こういう表示になるんです。どこが違うかというと、「このページのスクリプトの実行を中止する」というのをユーザーが選べるんですね。これは単純なメッセージ表示だけなのでこれで終わってますが、さらに外部からスクリプトを呼び出すようなしかけのときはこれで実行を止めることができるのです(今回流れていたJavaScriptにマウスを載せた場合は、実行前にウィンドウが出て実行するか中止するかを聞いていました)。
今回気づいたのははまちちゃん( @hamachiya2 )が流した外部スクリプトがRTされまくっていて、そこにたまたまマウスを滑らせたときに「このページのスクリプトの実行を中止しますか?」とブラウザ(Opera)が聞いてきてくれたため。「あれ?何かスクリプト仕込んでる?」と思っていたら、TLに大量にそれっぽいコードが流れているのを見て事態を理解。「とりあえずはあまりブラウザでTwitter公式にアクセスしないようにしよう......」とついっぷるに逃げた、というのが昨日の顛末でした。
私はかなり以前からOperaユーザーで、メインブラウザがOpera、サブがIEとSafari(SafariじゃないときはSleipnirとかLunascapeとか)という体制にしていることが多いです。Opera、表示は速いし、FireFoxなら一つずつアドオンを入れなければいけない機能がデフォルトで揃っており、かゆいところに手が届く感じがとても好き。そういえば、昔こんな記事を書いたこともあります。→「『書きかけのmixi日記を消してしまった!』を防ぐ」
OperaはWebをよく使う人には便利な機能が満載なのですが、とかくマイナーブラウザと責められがちでして...でも今回Operaのおかげで難を逃れ、あらためてOperaに感謝&愛を深めた次第です。パソコンを触っている時間のうちかなりの時間をWebブラウザを開いてる、という人は多いと思います。別に押しつけようとは思いませんけど、ブラウザを変えることで使い勝手が変わることもあるよ、というお話でした。もし興味がわいた方がいらしたら、こちらからダウンロードしてみてください→☆
※余談ですが......昔のOperaをご存じの方は「でもさー、Operaって有料じゃないの?」と思われているかもしれません。たしかに私も、昔はお金を払って使ってた時期がありました。でも、現在は無料で利用できます。ご心配なく。