アカウント名:
パスワード:
Facebook アプリケーションが意図せずアクセス情報をサードパーティに漏洩 [symantec.com]
シマンテックでは、特定のケースで Facebook IFRAME アプリケーションから広告主や分析プラットフォームなどのサードパーティに、アクセストークンが意図せず漏洩することに気付きました。
まあ、悪いのはサードパーティソフトなんだけど、それを許す設計はマズイよね。
Facebookアプリに限らず、mixiアプリやTwitterアプリについても言えることなのですが。あの手のAPIは、悪用を防ぐ手立てがないような気がします。exeファイルやActiveXコントロール、Firefoxアドオンなどでマルウェアを作るのが避けられないのと同じで。
もちろん、それらと違って、ローカルコンピュータに直接何かすることはできず、Facebookなどのサービスで可能なことしかできませんし、サービス提供者側がすべてのアプリの存在を把握しておりAPIの利用権を自由に設定できますし、そういった意味では、exeファイルよりはずっとマシです。
けれど「アクセス権を与えてしまったのだから、その範囲内で何されるかは分からない。信用できないのなら、アクセス権を与えるべきではない」という意味では、何ら変わらないんじゃないかと。
Facebookアプリに限らず、mixiアプリやTwitterアプリについても言えることなのですが。あの手のAPIは、悪用を防ぐ手立てがないような気がします。 exeファイルやActiveXコントロール、Firefoxアドオンなどでマルウェアを作るのが避けられないのと同じで。
それはその通り。
もちろん、それらと違って、ローカルコンピュータに直接何かすることはできず、Facebookなどのサービスで可能なことしかできませんし、 サービス提供者側がすべてのアプリの存在を把握しておりAPIの利用権を自由に設定できますし、 そういった意味では、exeファイルよりはずっとマシです。
それは違うでしょ。マルウェアをユーザがインストールしてしまう仮定の下では、そのマルウェアはなんだってできてしまう。(「Facebookなどのサービスで可能なことしかできませんし」は間違い。)
インストールはどうでもいいと思うけど。exeファイルやらのローカルで実行する類のものの話はしてないよ。アプリって書くと紛らわしいんだけど、Facebook、mixi、Twitterじゃ、Web上でのサービスもアプリって呼称してる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
一方、Facebookは個人情報ダダ漏れを許しそうな……… (スコア:2, 興味深い)
Facebook アプリケーションが意図せずアクセス情報をサードパーティに漏洩 [symantec.com]
まあ、悪いのはサードパーティソフトなんだけど、それを許す設計はマズイよね。
Re: (スコア:1)
Facebookアプリに限らず、mixiアプリやTwitterアプリについても言えることなのですが。あの手のAPIは、悪用を防ぐ手立てがないような気がします。
exeファイルやActiveXコントロール、Firefoxアドオンなどでマルウェアを作るのが避けられないのと同じで。
もちろん、それらと違って、ローカルコンピュータに直接何かすることはできず、Facebookなどのサービスで可能なことしかできませんし、
サービス提供者側がすべてのアプリの存在を把握しておりAPIの利用権を自由に設定できますし、
そういった意味では、exeファイルよりはずっとマシです。
けれど「アクセス権を与えてしまったのだから、その範囲内で何されるかは分からない。信用できないのなら、アクセス権を与えるべきではない」という意味では、何ら変わらないんじゃないかと。
1を聞いて0を知れ!
Re: (スコア:0)
それはその通り。
それは違うでしょ。マルウェアをユーザがインストールしてしまう仮定の下では、そのマルウェアはなんだってできてしまう。(「Facebookなどのサービスで可能なことしかできませんし」は間違い。)
Re:一方、Facebookは個人情報ダダ漏れを許しそうな……… (スコア:1)
インストールはどうでもいいと思うけど。exeファイルやらのローカルで実行する類のものの話はしてないよ。
アプリって書くと紛らわしいんだけど、Facebook、mixi、Twitterじゃ、Web上でのサービスもアプリって呼称してる。
1を聞いて0を知れ!