Grave falla de seguridad sigue siendo explotable en Twitter

El día de ayer un tal David Naylor descubrió grave brecha de seguridad en Twitter (sí, otra) que permite modificar cualquier enlace de la red de microblogging, algo así como una mega vulnerabilidad cross-site scripting. El problema viene porque la API de Twitter añade a todos los enlaces el atributo rel=nofollow (no sé desde cuando) pudiendo cualquiera cambiar el contenido de los mismos e inyectar código JavaScript malicioso con los fines más variados.

Dicho fallo se reportó casi en el acto a los de Twitter y al poco estos contestaron que ya lo habían solucionado. Pues resulta que no. El descubridor de la brecha comenta que Twitter implementó una solución totalmente chapucera que vale más bien de poco y sigue permitiendo “hacer el mal” a alguien con no muchos conocimientos y unos minutos de trabajo.

Nuevamente Twitter queda a la altura del betún en cuanto a seguridad y este caso ya me parece fuera de lo normal. Les están diciendo que tienen un fallo de seguridad grave y ellos se limitan a implementar una solución que no es tal cosa, informando para encima que ya está solucionado cuando no es cierto

Mientras se dignan a solucionar en condiciones la brecha (aunque a ver quién se fía), es muy recomendable que no twittees desde la propia web por si las moscas (aún nadie explotó el fallo que yo sepa pero podría pasar en cualquier momento). Puedes actualizar tu cuenta sin miedo desde algún cliente de escritorio como TweetDeck.

Vía: Denken Über