  |
はてなキーワード: OAuthとは
Twitter の OAuth 許可ページがあまりにも酷い => 応急処置 - リタマス
これのGreasemonkey スクリプトが危険だったので修正したよ!
このスクリプトは、本文中にupdate(または更新)が入っている時に警告を出すようになっていたんだけど、これだとチェック漏れのバグがあるとwrite権限を要求しているのに警告が出ないのでread onlyのように見えてしまう
人間が本文読めばわかるから大丈夫だろと思うかもしれないけど、このスクリプト使い続けていたら警告が出ない=read onlyだと判断して本文読まなくなるはず
read onlyの時にも色を変えて警告を出すようにした(writeなら赤、read onlyなら黄)
これで警告表示の色を見れば赤ならwrite黄ならread onlyだとすぐにわかるし、警告がでなかったらなんかおかしいとすぐに気づくはずだ
危険なものと安全なものが混ざってる中から危険なものを選り分けても安心はできないけど、安全なものを選り分けたんなら安心できるよね!(これなんか専門用語ありそうだけど僕は知らない
最初のスクリプトだと https://twitter.com/oauth/authorize?* と https://twitter.com/oauth/authenticate?* で動くようになってたけど、
twitterのOAuthの認証ページは他にもhttpsのかわりにhttpを使ったものとか、twitter.comのかわりにapi.twitter.comとかがあるから、それらのページでは警告が出なかった
IDとパスワードを教えなくても いろんなサービスに自分の情報の一部を見せたり書き込みさせたり出来る仕組みの事。
違う。
Twitter使ってて最悪のパターンって、パスワード変えられて完全にアカウントを乗っ取られ、友人知人関係が壊滅。さらにメアドも抜かれて同じパスワード使ってそうな所も漁られて無茶苦茶されることじゃないか?
パスワードを教えるとそんな事が起きるかも知れない。そこでTwitterは、パスワードを教えなくても「書き込み権」や「読み込み権」を与えられる「OAuth」ってのを用意してる。
例えばブログを更新したら自動的にTwitterに「ブログ更新したよ! htt...」って書いてくれるサービスなどがある。他にも写真や動画を上げたらとかブクマしたらとか。 当然全て「書き込み権」がないとサービス提供できない。
逆に、iPhoneなどでReplyやRTをもらったら通知してくれるアプリもある。 こちらも、この手の情報は基本的に「読み込み権」がないと取得できない。
で、こういうサービスを使う度にパスワードをばら撒くのはヤバすぎだろjk、ってのが Twitter が言ってる事。
(なお、どんなサービスがあるかは纏めてくれてるところ参照で。結構色々あって見てるとwktk出来る。)
確かにそのとおり。でも画面をちゃんと見てないあなたも悪い。
今回問題になった「Q&Aなう」というサイトの場合このような画面になったはず。太字の所だけ抜き出すと
後はわかるな?
Twitter側も、この画面をいつまでたっても翻訳してないし、問題がある。前はもっとわかりにくかったので多少改善はしてるけど。
でも、ある程度日本語化されてるとは言っても、やっぱり海外のサービスを使ってるわけで、「拒否 or 許可」とかの場合は少しぐらいは注意した方がいい。
周りにいるだろ? 日本語ですら「OK or キャンセル」とか「はい or いいえ」を読まずに押してパニくってる奴が。あんな風にならないようにだけ気をつければいい。
使いたいサービスなら許可すればいい。その代わりそのサービスにスパムを撒かれたりする可能性はどうしても残る。
ポイントは
今回なら
私も FriendFeed や Boxcar なんかは、信用した上で許可してる。彼らにスパム撒かれたらそれはもう仕方ないと割り切って。正直なところBoxcarはなんで読み書きなのか意味が分からんのでかなり躊躇ったけど。
https://twitter.com/account/connections
ここに行けばあなたがこれまで許可したサービスの一覧が出る。よく分からん物とかがあればここから「許可を取り消す」とすればいい。
こういう風に後から個別に許可を取り消せるのも OAuth のいいところ。全部にパスワードを教えてる場合だと、まずパスワード変更して全サービスお断りにしたあと一つずつ再設定していかないといけない。
なお、OAuth は Web とかのソースコードを利用者に見られないサービスで主に使われるので、DLするタイプのアプリケーションとかではまだまだパスワード認証が主流。最近少しずつ変わってきてるけど。
ネタフルのHootSuiteの記事(http://netafull.net/twitter/032057.html)を読んで個人アカウントで試してみたが、企業アカウントでは全く使えないことがわかった。
複数アカウントが使えるのはいい。複数ユーザーで使えるのもいい。RSSフィードを流せるのも、時間指定して投稿できるのもいい。デフォルトでは@hootsuiteを自動でフォローするようになっているのもかまわないだろう。グループの表示に検索を使ってるようで、protectedのアカウントや公式検索に引っかからないアカウント(15%ほどいるらしい)を追加できないことにも目をつぶろう。
何が駄目か。
twitterとの連携にOAuthではなくパスワードを使っている事が致命的である。
パスワードがあればパスワードの変更もメールアドレスの変更もできる。つまりパスワードがもれるとアカウントの完全な乗っ取りができてしまう。乗っ取られても個人アカウントなら新しいアカウントを作って友人にフォローしてもらうだけですむ。だが、企業アカウントではフォロワーはお客様だ。それもコストをかけ宣伝し、こつこつと積み重ねてきたフォロワーだ。スパム的な方法で3500人までフォロワーを増やしてアカウント停止された@tweeterjpも、新しいアカウントをスパムまがいなRT署名で宣伝してやっと440人といったところだ。
何ヶ月かかけてやっと1000人のフォロワーが集まったというようなまともな企業アカウントでは、これは致命的な事になる。
OAuthが正式に採用されてからすでに数ヶ月は経っている。それなのに仕様変更の多いtwitterでいまだにOAuthに対応できていないというのは、ろくにサポートされていないか、悪意をもってパスワードを集めていると思われても仕方ない。これでプロフェッショナルクライアントを名乗るのは企業ツイッターユーザーを馬鹿にしているとしか思えない。
こんなのにだまされるようでは本気でtwitterに取り組んでいるとは言えないだろう。ネタフルの記事を見て今日からHootSuiteを使い始めた企業アカウントがあれば、それはまともな企業ではないので即リムーブをオススメする。
個人で使うにはそんなに悪くないと思うよ。http://hootsuite.com/
