Twitter のユーザ名は正しくエンコードされていない
Twitterのプロファイルで my<br>name と入力すると、ホーム画面では my<br>name と表示される。
正しくエンコードされているなら、ホーム画面でも my<br>name と表示されるはず。
どうも < と > は無条件に削除しているらしく、プロファイルに my<br>name と入力すると mybrname になる。これを以てクラッキング対策ということなんだろうけど、入力データの扱いという点において Twitter は最も基本的なセオリーすら守れないらしい。
あと、上記の仕様から推測すれば、Twitter クライアントには通常タグっぽいテキストは流れないことになる。もし、上記の方法で <script> とか埋め込んだから誤動作するクライアントはたくさんあるんじゃないかな。(ちょっと前にTwitterをダウンさせたクラックコードってのも、これを利用してたんだっけ?)そもそも、APIの仕様にデータのエスケープに関する記述がないのがおかしいよ。