Link alla notizia: http://www.hwfiles.it/news/twitter-spiega-cosa-e-successo-nei-giorni-scorsi_33822.html

Twitter ha diffuso un comunicato in cui riassume le caratteristiche dell'attacco subito e spiega le ripercussioni sul proprio network

Click sul link per visualizzare la notizia.

Sophos mette in guardia tutti gli utenti Twitter su una nuova falla, potenzialmente molto dannosa, recentemente scoperta sul popolare social network: sfruttando la possibilità di inserire codici javascript all’interno dei messaggi, è possibile infatti richiamare la cosiddetta funzione “onmouseover” che permette a messaggi pop-up e siti web esterni di aprirsi sul browser del pc al semplice passaggio del mouse sopra il corrispondente link.

Il problema è stato risolto in circa 5 ore di lavoro e al momento non si conoscono le proporzioni dell'attacco. Twitter sottolinea che i singoli account non sono stati violati e non è necessario che gli utenti modifichino per sicurezza la propria password.

E' da ridere :asd: , come dire "non mi si accende l'automobile, per sicurezza ho cambiato le gomme". Ma che gente c'è nel mondo... :muro:

guarda che e' scritto "NON" e' necessario

APPUNTO !! Se hanno dovuto specificare che non c'entra nulla l'account e la password, significa che la gente fà le cose in modo autistico, sono tutti matti che c'è bisogno di dire una cosa così semplice e scontata?

A questo punto avrebbero potuto anche dire: "non c'è bisogno di cambiare il refresh video da 50 a 60hz". Questo basta a confermare la pulizia mentale della gente che frequenta questi social netuorc

:doh: :doh: :muro: :muro:

E poi "ATTACCO", e che èè un attentato un po' di codice javascript nei messaggi? Una volta si usava anche nelle board dei forum, poi è stato disabilitato. C'è anche scritto qui da noi in fondo:
Non Puoi aprire nuove discussioni
Puoi rispondere ai messaggi
Puoi allegare file
Puoi modificare i tuoi messaggi
Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off

beh contando che basta che uno dei tuoi contatti fosse "infetto" che automaticamente venivi infettato anche tu

nella prima versione si usava un onmouseover per replicare un messaggio e twittarlo in automatico
altri "geniacci" capito il funzionamento hanno creato codice in modo che questo venisse si twittato in automatico ma ti ponesse una mask grande quanto il mondo che ovunque tu cliccassi potevano farti fare quello che volevano

sul profilo della moglie del primo ministro inglese per esempio (1 milione di contatti) il "bug" portava a dei simpatici siti giapponesi con orientali ignude...

metti un XSS come questo, una pagina fatta ad hoc, un redirect su onmouseover e di danni ne fai per bene..

La gente non sà nemmeno cosa sia uno script, figurati se sanno la differenza con un cross-script. Cmq mi piace l'accaduto, è bello leggere di tanti colpiti mentre spettegolano a destra e a manca, è bene, ci godo come un porcellino. Giustizia divina muahahah

Anche xkè basta un plugin per essere al sicuro.

evidentemente nemmeno i dev di twitter sanno cos'è un XSS se hanno lasciato campo libero ;)

Quindi ora danno una passata di htmlentities() in output?