logo

TwitterへのXSS攻撃--セキュリティ専門家が示す課題 - (page 4)

文:Elinor Mills(CNET News) 翻訳校正:川村インターナショナル2010年09月27日 07時30分
  • 一覧
  • このエントリーをはてなブックマークに追加

 機能を一新して競争に対処しなければならないということが、いくつかの問題の背景にある可能性は高い。絶えずサイトをアップデートしている多くのWeb 2.0企業と同様に、Twitterも機敏な開発を行っている。ソフトウェアは小さな単位で迅速に開発、修正され、それが繰り返される。Grossman氏は、それほど短期間でコードを記述していれば、間違いも起こりやすくなると述べる。

 セキュリティ問題が悪化するのは、Twitterのサイトから、企業や組織など、Twitterフィードを直接統合しているウェブサイトへ問題が波及したときだ。自動化されたTwitterフィードも攻撃の拡大に拍車をかけた。ウェブサイトはサードパーティーからのツイートストリームやバナー、画像を掲載することもできるし、ほかの企業のコードを保管するウェブウィジェットにも対応している。こういったものが、本来なら安全なウェブサイト上でマルウェアの発信源になる事例が増えている。

 Grossman氏は、Mozilla FoundationやGoogleの懸賞金プログラムと同じように、Twitterもセキュリティホールを見つけて通知してくれた人々に賞金を提供するよう提案した。Twitterの広報担当Penner氏は、「われわれはセキュリティコミュニティーと密接に連携している。そして、コミュニティーの力添えによって、われわれは脆弱性を悪用される前に見つけることができる」と述べたものの、それ以上のコメントは控えた。

 その一方で、将来的にブラウザメーカーから助けを得られる可能性もある。Mozillaは「Firefox 4.0」に新しいコンテンツセキュリティポリシー機能を追加する予定で、この機能を利用するとクロスサイトスクリプティングなどの攻撃を防ぎやすくなる。しかし、Grossman氏によれば、Twitterなどのサイトはそのテクノロジと連携するソフトウェアを実装しなければならないという。基本的に、ブラウザはウェブサイトによって許容可能と定義されていないコードを実行しなくなる。

 Grossman氏は、クロスサイトスクリプティングホールを修復し、攻撃を迅速に遮断したことに関してTwitterを賞賛したが、メインストリームになった現状を考えると、Twitterはもっと多くの対策を講じる必要があるとも述べている。「Twitterは最善を尽くしている。しかし、同社の最善は十分ではない」(Grossman氏)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]