1ヶ月脆弱性報告シリーズのTwitter版『TwitPwn』というプロジェクトが、7月1日から始まっていたようです。すっかり見逃していました。もう終盤ですね。

報告されている脆弱性を見ていると、Twitter本体と言うより、Twitter APIを使ったサードパーティのサービスプロバイダ関連の報告のようです。ざっとタイトルを見ただけですが、報告されている脆弱性としてはXSSとかCSRFの組み合わせが多いですね。Twitter上でのワームの作成の可能性辺りに注目しているのでしょうか。

• TwitPwn

脆弱性の数よりも、Twitter派生サービスってこんなにあるのかという方に驚きました。しかも、1つも知らない。

この『TwitPwn』プロジェクトではTwitter APIの問題をあげつらうというより、「Web2.0的なAPIを使って簡単にサービスを量産してるけど、セキュリティにも気をつけてね。」ということが言いたいのではないでしょうか。

Twitterではありませんが、私もこういったサービスのAPIを使ったサードパーティのサービスをいくつか作ってみたことがあります。メインの部分はAPIがほとんどやってくれるので、セキュリティのことを考慮する間もなく、API使った→数時間でできた！的に神速で公開してしまう気持ちがわかるような気もします。

人気のサービスほど、APIを使ったサードパーティの派生サービスが量産され、そして脆弱性を抱えたサイトも比例して増えていくのではないでしょうか。
サービスプロバイダはAPIの公開と共に、利用方法やサンプルのところにセキュリティ対策の要点でも載せておいてもらえるとよいのですが、パスワードが”password”の会社には難しいのかもしれません…。（参考：Twitter社の皆さん、サーバーのログイン・パスワードに“password”を使わないように）

API経由のメッセージは外部からの入力です。APIからのメッセージを再利用する場合には信頼できないものとして扱うべきでしょう。
もちろんそれ以外にも、一般的なWebアプリを構築するのと同様のセキュリティ対策を怠ってはいけませんね。