アカウント名:
パスワード:
Facebook アプリケーションが意図せずアクセス情報をサードパーティに漏洩 [symantec.com]
シマンテックでは、特定のケースで Facebook IFRAME アプリケーションから広告主や分析プラットフォームなどのサードパーティに、アクセストークンが意図せず漏洩することに気付きました。
まあ、悪いのはサードパーティソフトなんだけど、それを許す設計はマズイよね。
Facebookアプリに限らず、mixiアプリやTwitterアプリについても言えることなのですが。あの手のAPIは、悪用を防ぐ手立てがないような気がします。exeファイルやActiveXコントロール、Firefoxアドオンなどでマルウェアを作るのが避けられないのと同じで。
もちろん、それらと違って、ローカルコンピュータに直接何かすることはできず、Facebookなどのサービスで可能なことしかできませんし、サービス提供者側がすべてのアプリの存在を把握しておりAPIの利用権を自由に設定できますし、そういった意味では、exeファイルよりはずっとマシです。
けれど「アクセス権を与えてしまったのだから、その範囲内で何されるかは分からない。信用できないのなら、アクセス権を与えるべきではない」という意味では、何ら変わらないんじゃないかと。
つまり、君にいわせりゃ、いわゆるトロイの木馬は「悪用」ではないんだね。別に、そういうことにしたいのなら、勝手にそうしてくれてもいいんだけど。
トロイの木馬とは、ローカルで、ユーザから(想定外のセキュリティホールを利用したかしなかったかに関係なく、OSの)APIを使う許可をうけて実行されるプログラムですよね。
これが悪意あるプログラムであると考える人は、APIの使用許可の有無を問題にしているのではなく、許可した人が想定していなかった動作を行うことを問題にしています。この点に関して、ローカルか、そうでないかを区別する意味を見出せないのですが、一体どういう意味があるのですか?
あなたは「ローカルで実行する類のものの話はしてない」と言っているので トロイの木馬の例えは当てはまらないと思います
トロイの木馬の例えは、APIを使った悪用の例えだと思います。そんなに変なこと言ってないかと。
サービス提供側が認めている(想定外のセキュリティホールなどがない)API を利用して行う行為で、どんなことが「悪用」に相当するのでしょうか?
というの元のコメントで、Webサービスの話じゃなかったですし、Web サービス限定にしても、アクセスを許可したときに、正規のAPIを利用して、友人リストにspamバラまくWebのアプリはたくさんありますし(そういう例でよかったのでしょうか?)、これはトロイの木馬が正規のAPIを使っての「悪用」と同じですよね?
SPAMばらまくとか第三者に情報渡すとか、普通に規約とかで禁止されている行為を行う事じゃないの?それらはAPIとかで禁止することが困難だから出来てもやらないように規約で禁止しているわけで。もちろん最初からそんなアプリが許可されるわけないので、有用なアプリに見せかけておいて後からやる「トロイの木馬」型だったりするんじゃない?同じく意図せずサードパーティが情報漏らしたり乗っ取られたりもあるし。
マルウェアは作ってるところが悪いけど、インストール出来るwindowsの設計も悪いよねとか、XSSはサイト作ったところが悪いけど、可能にしてるapacheの設計も悪いよねとか、大元のコメントの
は、そういう事を言ってるよ、という事でしょ?
???貴方は「ローカルで実行する類のものの話はしてない」のですよね?そうすると、「トロイの木馬」はいったいどこに対して送り込まれるのでしょう?サーバではないですよね?(それはクラックだから、「悪用を防ぐ手立てがない」という言葉とはそぐわないですし)
煽っている訳じゃなく、素で分かりません。(多分私だけじゃなく、eigen氏や#1952437氏もそうでしょう)もう少し悪用手段の具体的な説明をしていただけないでしょうか。
Facebookアプリに限らず、mixiアプリやTwitterアプリについても言えることなのですが。あの手のAPIは、悪用を防ぐ手立てがないような気がします。 exeファイルやActiveXコントロール、Firefoxアドオンなどでマルウェアを作るのが避けられないのと同じで。
それはその通り。
もちろん、それらと違って、ローカルコンピュータに直接何かすることはできず、Facebookなどのサービスで可能なことしかできませんし、 サービス提供者側がすべてのアプリの存在を把握しておりAPIの利用権を自由に設定できますし、 そういった意味では、exeファイルよりはずっとマシです。
それは違うでしょ。マルウェアをユーザがインストールしてしまう仮定の下では、そのマルウェアはなんだってできてしまう。(「Facebookなどのサービスで可能なことしかできませんし」は間違い。)
インストールはどうでもいいと思うけど。exeファイルやらのローカルで実行する類のものの話はしてないよ。アプリって書くと紛らわしいんだけど、Facebook、mixi、Twitterじゃ、Web上でのサービスもアプリって呼称してる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
一方、Facebookは個人情報ダダ漏れを許しそうな……… (スコア:2, 興味深い)
Facebook アプリケーションが意図せずアクセス情報をサードパーティに漏洩 [symantec.com]
まあ、悪いのはサードパーティソフトなんだけど、それを許す設計はマズイよね。
Re:一方、Facebookは個人情報ダダ漏れを許しそうな……… (スコア:1)
Facebookアプリに限らず、mixiアプリやTwitterアプリについても言えることなのですが。あの手のAPIは、悪用を防ぐ手立てがないような気がします。
exeファイルやActiveXコントロール、Firefoxアドオンなどでマルウェアを作るのが避けられないのと同じで。
もちろん、それらと違って、ローカルコンピュータに直接何かすることはできず、Facebookなどのサービスで可能なことしかできませんし、
サービス提供者側がすべてのアプリの存在を把握しておりAPIの利用権を自由に設定できますし、
そういった意味では、exeファイルよりはずっとマシです。
けれど「アクセス権を与えてしまったのだから、その範囲内で何されるかは分からない。信用できないのなら、アクセス権を与えるべきではない」という意味では、何ら変わらないんじゃないかと。
1を聞いて0を知れ!
Re:一方、Facebookは個人情報ダダ漏れを許しそうな……… (スコア:1)
を利用して行う行為で、どんなことが「悪用」に相当するのでしょうか?
Re:一方、Facebookは個人情報ダダ漏れを許しそうな……… (スコア:1)
つまり、君にいわせりゃ、いわゆるトロイの木馬は「悪用」ではないんだね。
別に、そういうことにしたいのなら、勝手にそうしてくれてもいいんだけど。
1を聞いて0を知れ!
Re:一方、Facebookは個人情報ダダ漏れを許しそうな……… (スコア:1)
あなたは「ローカルで実行する類のものの話はしてない」と言っているので
トロイの木馬の例えは当てはまらないと思いますし、
私も、FacebookなどのWebサービス提供側が認めている(想定外のセキュリティホールなどがない)APIを使った
「悪用」の方法や実例について質問しているのですが。
Re:一方、Facebookは個人情報ダダ漏れを許しそうな……… (スコア:1)
トロイの木馬とは、ローカルで、ユーザから(想定外のセキュリティホールを利用したかしなかったかに関係なく、OSの)APIを使う許可をうけて実行されるプログラムですよね。
これが悪意あるプログラムであると考える人は、APIの使用許可の有無を問題にしているのではなく、許可した人が想定していなかった動作を行うことを問題にしています。
この点に関して、ローカルか、そうでないかを区別する意味を見出せないのですが、一体どういう意味があるのですか?
1を聞いて0を知れ!
Re:一方、Facebookは個人情報ダダ漏れを許しそうな……… (スコア:1)
トロイの木馬の例えは、APIを使った悪用の例えだと思います。そんなに変なこと言ってないかと。
というの元のコメントで、Webサービスの話じゃなかったですし、Web サービス限定にしても、アクセスを許可したときに、正規のAPIを利用して、友人リストにspamバラまくWebのアプリはたくさんありますし(そういう例でよかったのでしょうか?)、これはトロイの木馬が正規のAPIを使っての「悪用」と同じですよね?
LIVE-GON(リベゴン)
Re: (スコア:0)
SPAMばらまくとか第三者に情報渡すとか、普通に規約とかで禁止されている行為を行う事じゃないの?
それらはAPIとかで禁止することが困難だから出来てもやらないように規約で禁止しているわけで。
もちろん最初からそんなアプリが許可されるわけないので、
有用なアプリに見せかけておいて後からやる「トロイの木馬」型だったりするんじゃない?
同じく意図せずサードパーティが情報漏らしたり乗っ取られたりもあるし。
マルウェアは作ってるところが悪いけど、インストール出来るwindowsの設計も悪いよねとか、
XSSはサイト作ったところが悪いけど、可能にしてるapacheの設計も悪いよねとか、
大元のコメントの
まあ、悪いのはサードパーティソフトなんだけど、それを許す設計はマズイよね。
は、そういう事を言ってるよ、という事でしょ?
Re: (スコア:0)
???
貴方は「ローカルで実行する類のものの話はしてない」のですよね?
そうすると、「トロイの木馬」はいったいどこに対して送り込まれるのでしょう?
サーバではないですよね?(それはクラックだから、「悪用を防ぐ手立てがない」という言葉とはそぐわないですし)
煽っている訳じゃなく、素で分かりません。(多分私だけじゃなく、eigen氏や#1952437氏もそうでしょう)
もう少し悪用手段の具体的な説明をしていただけないでしょうか。
Re: (スコア:0)
それはその通り。
それは違うでしょ。マルウェアをユーザがインストールしてしまう仮定の下では、そのマルウェアはなんだってできてしまう。(「Facebookなどのサービスで可能なことしかできませんし」は間違い。)
Re:一方、Facebookは個人情報ダダ漏れを許しそうな……… (スコア:1)
インストールはどうでもいいと思うけど。exeファイルやらのローカルで実行する類のものの話はしてないよ。
アプリって書くと紛らわしいんだけど、Facebook、mixi、Twitterじゃ、Web上でのサービスもアプリって呼称してる。
1を聞いて0を知れ!