昨晩、古い電子メールを探していて、以下の奇妙なヘッダを見つけた:

Tweetdeck XSS

  ユーモアのセンスを持つ誰かが、メールのヘッダにXSSジョークを挿入したのだ。

  面白いと思ったので、このことについてTwitterに投稿した:

Tweetdeck XSS

  数分後、私はRobin Jacksonが以下のようにリプライしているのに気づいた:

Tweetdeck XSS

  あり得ない。ツイートが「スクリプト」タグを含んでいるからといって、Javascriptを実行するTwitterクライアントは無い。

Tweetdeck XSS

Tweetdeck XSS

  本当であることを示すため、Robinはスクリーンショットを投稿してくれた。

Tweetdeck XSS

  彼が使用しているクライアントは、Chrome用のTweetdeckだった。開発者に報せなくては。そしてもちろん、彼らもTwitter上にいる。

Tweetdeck XSS

  TwitterのセキュリティチームのRandy Janindaが、数分で反応した:

Tweetdeck XSS

Tweetdeck XSS

Tweetdeck XSS

  そしてほんの2時間後には、Twitter開発チームのTom Woolwayから、修正が完了したという知らせをもらった:

Tweetdeck XSS

サインオフ
ミッコ