最近僕が発見し、修正されたTwitterの脆弱性を3つ紹介します。 1.旧Twitterの文字列処理に絡んだXSS 去年の夏くらいに、Twitter Web上で € 〜 ÿ の文字参照が含まれるツイートをXMLHttpRequestで読み込んだ際に表示が乱れるという問題に気付き*1、その時はこれは脆弱性には繋がらないだろうという判断をしたのだけど、今年の4月になって改めて調べたところ貫通しました。 表示が乱れるというのは、€ 〜 ÿ の文字参照が含まれるツイートがあると、一部の文字が\XXXXの形式に化けたり、ツイート周辺の「"」が「\"」になったりするものだったのですが、今回は「"」が「\"」になる点が脆弱性を発生させていました。 この条件でXSSさせようと思ったら、ツイートを細工してURLや@や#などオートリンクが作成される部分にうまいことイベン
サイトで「身も心もさっぱりと洗い流し、あの人との関係をキレイにする」と書かれたボタンを押すと、OAuth認証画面に飛ぶ ユニリーバのボディソープ「AXE」(アックス)のTwitter連携プロモーションがユーザーの批判を受け、このほど中断された。ユーザーがフォローしているが相手からはフォローされていない「片思いアカウント」をランダムにリムーブ(フォローを解除)するようになっており、「不快」「迷惑」という声があがっていた。 同社は「“片思い相手”に自分の存在を気付かせ、コミュニケーションのきっかけ作りになればと思った。批判は真摯(しんし)に受け止め深くおわびする」とし、9月9日までにTwitter連携サービスを中断。内容を改善し、近日中に再開する予定だ。 キャンペーンは「AXE SHOWER-NAVI」という名で、AXEの洗浄力をPRする内容。サイトにアクセスし、Twitterと連携(OAut
やりましょう。RT @ayu_19980408: 始めまして、浜崎あゆみと申します。孫さんーっっっ‼犬のお父さんと共演したいでございます。
2010年4月16日 (金) ツイッターでの一部の要望について。 ツイッターの文字数だけでは伝えきれないのでこちらに書きます。 ある書き込みが気になり注意を呼びかけようと思いました。 その書き込みは中国からで、↓これね。 『蒼井さん、PayPal*のアカウントを作ってください。お金を払いたくなくて海賊版を見ているのではなくて、正規版が手に入らないからなのです。なのであなたにきちんとお金をお支払いしたいと思います。』(*インターネット口座的なものだと思う) 『蒼井さんはPaypalの口座番号を提供していただきたいのですが、そうしたら、われわれは蒼井さんから得た利益に送金できるようになります。中国のファンの本心からの頼みを無視しないてください。』 気持ちは良く分かりました。私も海賊盤には心を痛めています。 「本当はちゃんと買いたい」と思っていても、やはり買えないのが現状なんですよね。 海賊盤は
※【2010年4月19日追記】@anywhererに関しては、WebOS Goodiesに素晴らしい翻訳が掲載されています。ご参照ください。 ※【2010年6月3日追記】コメント欄にTさんより連絡いただきました。「application url」の補足を追加しました。 今朝ほどクライアントを訪問する途中で会社から 「@anywhereが公開されたよ!」という連絡が入りました。 もうしばらくすると、だれかがきちんとした翻訳を用意してくれると思いますが、 それまで待ちきれないあなたのために社に戻ってからちょっとだけ調べてみました。 参考程度にご覧ください。 ◆まとめ 登録は簡単でした。 できることとやりたいことが合致していれば、 30分もかからず自社サイトでTwitterを利用することができると思います。 初めてだと説明書きにある「Application」という表現がしっくりこないかもしれませ
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: Parental Control music videos Healthy Weight Loss 10 Best Mutual Funds Contact Lens Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy|Do Not Sell or Share My Personal Information
<追記 2012/03/06 ここから> 追記(2012/03/06) 2012年3月にTwitterの仕様が変更されました。 下記では「TweenのQT」と、「非公式RT」「QT」とはタイムラインでの見え方が違う……と書いてありますが、2012年3月現在ではどちらも同じようにタイムラインでは表示されています。 <追記ここまで> 先日、Twitterで公式にRetweet機能が一部のユーザー向けに公開されました。現在は言語を英語にしないと利用できませんが、今後はいずれ全ユーザーが利用できるでしょう。一方でこれまでのRetweetをQTと言い換える専用ソフト(クライアント)も出ています。 こうした動きの中で機能が複雑になり、それぞれの違いが分からない・分かりにくいといった意見をよく見かけます。……ですので、ちょっと整理も兼ねてそれぞれの機能の特徴をまとめてみました。 はじめに 以降、区別のた
こんにちは。typesterの陰謀によりVimmerはモテないというデマが流れておりますが、残念ながらそれがデマだということを身をもって証明できないでいるVimmerの外村です。 先日、お悩み相談の記事がホットエントリーに入ったら彼女ができるという噂が立ち、何を間違えたかホットエントリーに入ってしまったのでどうしようかと思ったのですが、プログラマたるもの問題があればプログラムで解決すべきだろうと考えました。 というわけで彼女を作ってみました。どういうものかというと、 僕だけに定期的につぶやく 僕のリプライだけに反応してリプライを返してくれる まさに僕だけのボット彼女です。今回はこれをGoogleAppEngine+JRubyで実装したので、環境をつくるところか実際に動かすところまで説明します。 1. 環境をつくる まずはGoogleAppEngineのアカウントがないと始まらないので以下か
今回からは、Wicketを使って実際にアプリケーションを作成することで、Wicketによるアプリケーション作成方法を紹介していきます。 業務的なアプリケーションを作っても面白くもないでしょうし、今流行のTwitterのタイムラインを表示するアプリケーションを作ろうと思います。 twitter4jを使ったアプリケーションを作る とはいえ、この連載で一から十まで解説していくと何回あっても足りません。作成済みのアプリケーションのソースコードを追うことで、Wicketの使い方を紹介しようと思います。 次のURLから、完成したアプリケーションのソースコードをダウンロードできます。 本連載で解説するアプリケーションのソースコード このアプリケーションは、いままでのサンプルと同じようにmvn jetty:runコマンドによって起動することができます。 アプリケーションを起動して「http://local
前回までに、サブミットの受け付け方法が分かりましたので、実際にonSubmit()を実装してTwitterにログインする処理を記述したいところです。ですが、サンプルプログラムのコードを理解するには、Wicketにおけるユーザセッションの取り扱いについて理解する必要があります。 そこで今回は、このユーザセッションの取り扱いについて解説します。 ユーザセッションにアクセスする サーブレットでプログラムを作るとき、ユーザごとに用意されるデータ格納領域としてHttpSessionオブジェクトを使用することができました。Wicketでも、同様の仕組みがあります。 とはいえ、Wicketではページ自身がフィールドを持つことができ、Wicketがページの状態を保存してくれます。あるページオブジェクトはユーザ固有のもので、同じページクラスから作られたページでも、ユーザが異なれば、別のオブジェクトが割り当て
米Twitterは8月20日、ユーザーの「つぶやき」に発信場所情報を付加する機能を追加する計画を発表した。まずはサードパーティーの開発者に新APIを提供する。 これまでもサードパーティーによる幾つかの位置情報機能はあったが、ユーザーのアカウント情報を利用したリアルタイムではないものがほとんどだった。だが新APIはつぶやきにリアルタイムの緯度と経度の情報を付加できるようにするという(具体的な方法については公式ブログには明記されていない)。なお、この機能はユーザーが選択しないとオンにならないオプトインで提供する。 同社はまずサードパーティーの開発者にこのAPIを提供し、Twitter用モバイルアプリなどでの位置情報機能の実現を先行させる計画。その後TwitterのモバイルサイトおよびTwitter.com本体にもこの機能を追加するとしている。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
