Buenas
Algunos usuarios, aprovechando un fallo de seguridad del cliente Web de Twitter, están aprovechándolo para lo que parecía una broma al principio se convierta en algo mucho más serio. En estos momentos lo recomendable es NO USAR LA WEB DE TWITTER hasta que sus programadores corrijan el problema. El problema viene, y lo intento explicar para los profanos y por lo que he podido ver, a que en la Web de Twitter la acción que ocurre cuando alguien pasa el ratón por encima de una imagen, no se ha protegido debidamente, con lo que es posible “añadir” que se realicen más acciones que mostrar, por ejemplo, el nombre del usuario de twitter al que pertenece la imagen.
El código que se está utilizando en estos instantes para atacar a los usuarios de Twitter tiene este formato.
<url>#";onmouseover=javascript:<Código Javascript>;"/
Por ejemplo el que ponía los recuadros en negro
http://a.no/@"onmouseover=";$(‘textarea:first’).val(this.innerHTML);etc,etc
La vulnerabilidad está explotando un bug por el cual al pasar el ratón por encima del cliente Web de Twitter, es decir, la Web de Twitter, por uno de los tuits que contienen el código se ejecuta lo que el código Javascript indique. Esto es lo que llamamos XSS. ¿Alguien recuerda lo sucedido con la Web de la presidencia europea y Mr Bean ?
Ahora mismo puede ser desde la aparición de letras de tamaños enorme, cuadros rellenando el tl y demás. Pero hasta que no se solucione el código puede ser utilizado para HACER DAÑO.
Recomendaciones
1 NO USEN (de momento) www.twitter.com . Pueden usar http://mobile.twitter.com
2 Vayan pensando en usar un cliente (un programa para usar Twitter). Hay muchos Tweetdeck, Twhirl, Echofon para Firefox
3 Si ves que has lanzado tuits “raros”, con cuadrados negros o textos raros, si puedes elimínalos
4 Si algún amiguete ha lanzado esos tuits raros, avísale por un dm de lo que está sucediendo para que evite usar la Web
Por tanto la recomendación es NO USEN el Cliente Web de Twitter, puesto que el problema NO es tal en clientes como Tweetdeck, o Twhirl. Es la web la vulnerable. En todo caso puede ayudar desactivar Javascript
Para desactivar Javascript en Firefox
Herramientas->Opciones->Contenido->Desmarca Activar Javascript
Twitter está ofreciendo como alternativa a quien no esté utilizando un cliente para acceder a su servicio hacerlo a través del enlace http://mobile.twitter.com
Ah, permítanme una maldad. Es chocante que un blog sea el que tenga que contar lo que está pasando en Twitter
Iré actualizando el post.
La verdad es que es un poco triste que no hayan puesto nada aún en http://status.twitter.com/
Y también es feo que el @ICEX_ haya retwitteado un fail!
Marcelino, ¿sabes si ésto solo afecta si navegas desde Firefox o si es desde cualquier navegador?
Siempre nos quedarán los blogs! Ocurre en cualquier navegador, porque yo uso Chrome y he tenido que borrar dos tweets que han salido solos al pasar el ratón por encima.
#1 Muy feo, y ni han usado el blog para explicar nada. Mal Twitter, muy mal
#2 Cualquier navegador con javascript activado
#3 Para muestra un botón
Y no mucho después de la primera coña apareció una segunda versión que se auto-retuiteaba