Continuano ad esserci problemi per il servizio di micro-blogging Twitter, che dopo l’attacco subito i primi del mese, si scopre ancora vulnerabile.
A individuare un bug nel sistema è stato stavolta un suo utente, Dave Naylor : la nuova vulnerabilità risiederebbe in un tag dei link di Twitter.
Come riportato da Mashable che raccoglie le spiegazioni di Naylor, Twitter ha recentemente aggiunto ai link generati dalle proprie API il tag rel=nofollow . Questo servirebbe ad allontanare i bot dei motori di ricerca.
Naylor ha quindi scoperto che cambiando il link nelle impostazioni dell’applicazione, vengono influenzati tutti i tweet generati da essa. Cambiando il link è quindi possibile cambiarne il contenuto. A questo punto “è possibile – racconta Naylor – cambiare il link in modo tale da generare una grande vulnerabilità cross-site scripting”. Mirando, per esempio, ad ottenere i cookie di login.
Ma le intenzioni stavolta non erano offensive, e lo smanettone ha prontamente informato i gestori di Twitter che hanno riferito di aver risolto il problema. A distanza di 24 ore, tuttavia, è stato lo stesso Naylor a ricontattare di nuovo Mashable per riferire che la vulnerabilità sarebbe ancora presente: la soluzione, almeno per tamponare l’emergenza, sarebbe quella di usare un programma di terze parti per navigare fra i cinguettii in luogo del normale browser web.
Claudio Tamburrino
Ti potrebbe interessare
26 ago 2009