korelab

Twitter Balloonのユーザの方々、すみません。
Sun, 09 Mar 2008 07:10:40 GMT(Sun, 09 Mar 2008 16:10:40 JST-9)からTwitter BalloonにTwitterのメッセージが表示されなくなった様子です。
“Sorry, cannot load messages”というメッセージが表示されます。
原因はTwitter.comのcrossdomain.xmlが変わったからで、以下のようになっています。

<?xml version=”1.0″?>
<!– http://twitter.com/crossdomain.xml –>
<cross-domain-policy>
<allow-access-from domain=”*.twitter.com” />
</cross-domain-policy>

つまりは、twitter.comドメイン以外からのswfによるアクセスは認めないという設定に変えられている。

Twitter Development Talk内でのTwitterの開発者Alex Payneの発言

Yes, we changed crossdomain.xml in response to a security threat last night. Unfortunately, do to an insecure interaction between Flash and browsers, allowing cross-domain requests from any domain opens us to assumed login attacks, which a Japanese security researcher had noted publicly in the last 48 hours.

I didn’t alert the list because we wanted to observe the behavior of some of our Flash assets after the change, and so the current contents of crossdomain.xml are not yet concrete. If anyone has suggestions for a crossdomain.xml that’s both secure and useful to Flash developers, please let the list know.

セキュリティ上の問題からとりあえずcrossdomain.xmlを変更したけど、まだこの方法が確定した訳ではないらしい。

サーバ側でtwitter APIを呼び出すようにすれば、この問題を回避できるはずですが、Twitter Balloonからの全リクエストを捌けるだけのパワーは私の借りているサーバにはありません。
しばらく、Twitter.comの対応を様子を見るしかありません。

Twitter.comの対応によってはTwitter Balloonのサービスは停止になるかもしれません。
ユーザ数1000人が目前だったのに。

This entry was posted on Monday, March 10th, 2008 at 10:56 am and is filed under Twitter Balloon, 開発, twitter. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.