Twitter Clickjacking Attack orsakar efterkänslighetsbrist

Twitter Nation, stannar ner: Clickjacking Attack plaguing Twitter denna torsdag har nu rättats.

Mindre än 24 timmar efter det att de första officiella utmärkelserna visar att ära Twitter-användare (och till några skeptiska icke-Twitter-typer, är jag inte det här kallades Shorty Awards och MC Hammer var där), någon startade ett slags socialt virus som snabbt sprider sig via nätverket.

[Läs mer: Så här tar du bort skadlig kod från din Windows-dator]

Twitter Clickjacking: "Klicka inte"

Twitter Clickjacking bug var inte riktigt ett stort hot, det verkar, men mer av en mindre irritation. Här är vad som hände: Någon skulle skicka ett meddelande som säger "klick inte" tillsammans med en maskerad URL. Om du klickade på länken kommer samma meddelande automatiskt att skickas till ditt Twitter-konto. En av dina vänner skulle då sluta se ditt meddelande, bli nyfiken och klicka på den - därigenom skapa en viral spridning sorts effekt.

"Klick inte på" bra ol "omvänd psykologi vid dess finaste. Gissa att saker verkligen fungerar. (Anmäl dig själv: Börja lämna ut telefonnummer till attraktiva damer med anteckningar som säger: "Ring inte.")

Sanningen bakom tweetingen

Så vad hände egentligen här? De fina katterna över på Sunlight Labs säger att det handlade om iframerna. "Vad det här viruset gör är att det skapar en iframe på sidan, gömmer den, och när du klickar på den knappen och du är inloggad på Twitter, får den dig att skicka meddelandet (även om du inte ser det) "Sunlight Labs Director Clay Johnson förklarar i sin blogg. "Det är inte en del av javascript som berörs", säger han.

Du kan se hela koden av bugten översatt till engelska här. Självklart kan du bara läsa allt du kan göra. Det kommer inte att fungera längre.

Twitter Fixers

Twitters team kunde stoppa felet om några timmar. "Den" klicka inte "+ länk sak är ett" clickjacking "hack," Twitter VD Evan Williams skrev runt 1:30 p.m. ET. "Klick inte på det. Fix fixa nu", instruerade hans tweet.

Inom några minuter meddelade Operations Engineer John Adams - bättre kända för anhängare som "Netik", hans Twitter-handtag - att felet var löst.

"Vi lappade" klickar inte på "clickjacking attack" för 10 minuter sedan, "noterade han. "Problemet borde vara borta."

Twitters officiella blogg ger nu lite mer insikt:

"Tack och lov var skadan begränsad till att den här länken ständigt återställdes, men vi tar väldigt allvarliga angrepp på Twitter-användare och i morse Vi skickade en uppdatering som blockerar denna clickjacking teknik. "

Whew. Vi kan åtminstone vila oss lugnt och veta att Hammer stannat säkert från den här saken. Den killen är alldeles för legit att klicka.

(Tyvärr kunde inte motstå.)