Hamachiyaが「ついったー足あと帳」なんて作ったもんだからtwitterの人達は自分の usernameにアクセスしてきた人の足跡だと勘違いしている人もおおく、これが広まっていた…

• http://hamachiya.com/junk/twlog/

はてブからみると少しまえから*になっていることが知られていたらしい

• http://b.hatena.ne.jp/entry/http://hamachiya.com/junk/twlog/

便利だとか、良いとか行っている人はたぶん勘違いしてるのでは？

ようは crossdomainが allow *だと
Flashがブラウザ経由でクロスドメインwebアクセスをして、そのresponseをflashが受け取ることができる
今回は twitterのprotectな発言とかsettingからメールアドレスの取得や変更なんかできちゃってたわけで…
※追記

trackbackいただきました。ありがとうございます
今回の場合、refererを見ていて変更はできないとのことでした。
実際やってみちゃっているんですね、、、

ということでAPP Nameでやりとりをしていた 中の人の@al3xに念のため昨晩どうなの？ってメールをだしておいた

• http://twitter.com/crossdomain.xml

allow-access-from domain="*"

だったものが

allow-access-from domain="*.twitter.com"

に治っている

いろいろな問題があるね

• discloseの仕方問題
• ユーザのリテラシ？問題
• Flashのヤンチャ問題
• 作る人がcrossdomain設定による影響をしらない問題

※追記
jkondo祭りはこの影響？