bit.ly | firegoby

追記： 8/10 09:00頃だと思いますが、解消されたようですね。

追記：8/10 07:00ごろにbit.lyからまもなく問題を解消するよとメールがあったので、以下の問題は近日中に解消されると思います。

書こうか迷ったのですが、bit.lyにセキュリティホールがあるようです。
いろいろと検索した結果、すでにいくつかのソースが公開されているようなので、あえてここでもご紹介します。

こういうことが可能である旨は私からもbit.lyのサポートに報告済みです。

crossdomain.xmlが非常にゆるい制限になっているため、Flashを使用した悪意のあるページに、bit.lyにログインしたままアクセスすると、メールアドレスやAPIキーを取得されます。

Flashには、crossdomain.xmlというファイルで許可されているコンテンツは別のドメインからでも取得可能にするという、独自の仕組みがあります。

bit.lyは、このcrossdomain.xmlが非常にゆるい制約になっているため、別のサーバーにあるHTMLコンテンツから、bit.lyのコンテンツを取得可能になっています。

bit.lyにログインしたまま、以下のURLにアクセスするとメールアドレスが取得されているのが、おわかりかと思います。

実際には、どこにも保存しておりませんので、ご安心下さい。

bit.lyはログインしたままにしないで、こまめにログアウトするよう心がけることを、強くご推奨します。

firegoby