アカウント名:
パスワード:
Facebook アプリケーションが意図せずアクセス情報をサードパーティに漏洩 [symantec.com]
シマンテックでは、特定のケースで Facebook IFRAME アプリケーションから広告主や分析プラットフォームなどのサードパーティに、アクセストークンが意図せず漏洩することに気付きました。
まあ、悪いのはサードパーティソフトなんだけど、それを許す設計はマズイよね。
Facebookアプリに限らず、mixiアプリやTwitterアプリについても言えることなのですが。あの手のAPIは、悪用を防ぐ手立てがないような気がします。exeファイルやActiveXコントロール、Firefoxアドオンなどでマルウェアを作るのが避けられないのと同じで。
もちろん、それらと違って、ローカルコンピュータに直接何かすることはできず、Facebookなどのサービスで可能なことしかできませんし、サービス提供者側がすべてのアプリの存在を把握しておりAPIの利用権を自由に設定できますし、そういった意味では、exeファイルよりはずっとマシです。
けれど「アクセス権を与えてしまったのだから、その範囲内で何されるかは分からない。信用できないのなら、アクセス権を与えるべきではない」という意味では、何ら変わらないんじゃないかと。
つまり、君にいわせりゃ、いわゆるトロイの木馬は「悪用」ではないんだね。別に、そういうことにしたいのなら、勝手にそうしてくれてもいいんだけど。
SPAMばらまくとか第三者に情報渡すとか、普通に規約とかで禁止されている行為を行う事じゃないの?それらはAPIとかで禁止することが困難だから出来てもやらないように規約で禁止しているわけで。もちろん最初からそんなアプリが許可されるわけないので、有用なアプリに見せかけておいて後からやる「トロイの木馬」型だったりするんじゃない?同じく意図せずサードパーティが情報漏らしたり乗っ取られたりもあるし。
マルウェアは作ってるところが悪いけど、インストール出来るwindowsの設計も悪いよねとか、XSSはサイト作ったところが悪いけど、可能にしてるapacheの設計も悪いよねとか、大元のコメントの
は、そういう事を言ってるよ、という事でしょ?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
一方、Facebookは個人情報ダダ漏れを許しそうな……… (スコア:2, 興味深い)
Facebook アプリケーションが意図せずアクセス情報をサードパーティに漏洩 [symantec.com]
まあ、悪いのはサードパーティソフトなんだけど、それを許す設計はマズイよね。
Re: (スコア:1)
Facebookアプリに限らず、mixiアプリやTwitterアプリについても言えることなのですが。あの手のAPIは、悪用を防ぐ手立てがないような気がします。
exeファイルやActiveXコントロール、Firefoxアドオンなどでマルウェアを作るのが避けられないのと同じで。
もちろん、それらと違って、ローカルコンピュータに直接何かすることはできず、Facebookなどのサービスで可能なことしかできませんし、
サービス提供者側がすべてのアプリの存在を把握しておりAPIの利用権を自由に設定できますし、
そういった意味では、exeファイルよりはずっとマシです。
けれど「アクセス権を与えてしまったのだから、その範囲内で何されるかは分からない。信用できないのなら、アクセス権を与えるべきではない」という意味では、何ら変わらないんじゃないかと。
1を聞いて0を知れ!
Re: (スコア:1)
を利用して行う行為で、どんなことが「悪用」に相当するのでしょうか?
Re: (スコア:1)
つまり、君にいわせりゃ、いわゆるトロイの木馬は「悪用」ではないんだね。
別に、そういうことにしたいのなら、勝手にそうしてくれてもいいんだけど。
1を聞いて0を知れ!
Re: (スコア:1)
あなたは「ローカルで実行する類のものの話はしてない」と言っているので
トロイの木馬の例えは当てはまらないと思いますし、
私も、FacebookなどのWebサービス提供側が認めている(想定外のセキュリティホールなどがない)APIを使った
「悪用」の方法や実例について質問しているのですが。
Re:一方、Facebookは個人情報ダダ漏れを許しそうな……… (スコア:0)
SPAMばらまくとか第三者に情報渡すとか、普通に規約とかで禁止されている行為を行う事じゃないの?
それらはAPIとかで禁止することが困難だから出来てもやらないように規約で禁止しているわけで。
もちろん最初からそんなアプリが許可されるわけないので、
有用なアプリに見せかけておいて後からやる「トロイの木馬」型だったりするんじゃない?
同じく意図せずサードパーティが情報漏らしたり乗っ取られたりもあるし。
マルウェアは作ってるところが悪いけど、インストール出来るwindowsの設計も悪いよねとか、
XSSはサイト作ったところが悪いけど、可能にしてるapacheの設計も悪いよねとか、
大元のコメントの
まあ、悪いのはサードパーティソフトなんだけど、それを許す設計はマズイよね。
は、そういう事を言ってるよ、という事でしょ?