パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Twitterアプリのアクセストークンを盗み利用者のアカウントを操作した犯人、インタビューに答える」記事へのコメント

  • by Anonymous Coward

    フォローやブロックも抱き合わせで許可しなければならないTwitterの権限システムはおかしい。

    • 読み、読み書き、読み書きDM の3種でしたっけ?
      大抵のアプリは つぶやくために 読み書き くらいまでは権限取るので、ザルですよね。

      『書き』でも、つぶやき と それ以外(フォロー/プロフィール更新 etc...) くらいは最低分ければ、ちょっとはマシな気がするんですが。

      • by Anonymous Coward

        えっ、そうだったんですか?
        連携の許可をしようとする時には『ツイートを見る』『プロフィールを更新する』『新しくフォローする』といった風に細かく分かれて書かれてるので、プロフィール更新やらフォローといった、アプリの性質上必要ないはずの権限まで要求するのは作者が怠惰か邪悪かのどっちかだとずっと思ってました……

        • by Anonymous Coward on 2014年06月17日 17時37分 (#2622610)

          読み
          ・ツイートを見る
          の単独

          読み書き
          ・ツイートを見る
          ・フォローしている人を見る、新しくフォローする
          ・プロフィールを更新する
          ・ツイートする
          の一括セット

          読み書きパスワードDM
          ・ツイートを見る
          ・フォローしている人をを見る、新しくフォローする
          ・プロフィールを更新する
          ・ツイートする
          ・ダイレクトメッセージを見る
          ・Twitterのパスワードを見る
          の一括セット

          この3択しかなく、「ツイートする」がないと何もできないに等しいからほとんどの連携アプリは読み書きで連携することになり、不要なfollow, unfollow, blockなどの許可もまとめてゲットすることになる。

          親コメント
          • 古い (スコア:2, 参考になる)

            by Anonymous Coward on 2014年06月18日 0時51分 (#2622829)

            現在の認可内容は以下のとおりで、少し違う。Twitterのパスワードはどの認可を与えてもアプリからは見れない。というか、見れたらOAuthの意味がないじゃないか。

            Read Only
              - タイムラインのツイートを見る
              - フォローしている人を見る

            Read and Write
              - タイムラインのツイートを見る
              - フォローしている人を見る、新しくフォローする
              - プロフィールを更新する
              - ツイートする

            Read, Write and Access direct messages
              - タイムラインのツイートを見る
              - フォローしている人を見る、新しくフォローする
              - プロフィールを更新する
              - ツイートする
              - ダイレクトメッセージを見る

            親コメント
            • by Anonymous Coward

              えー、昔は読み書きDM権限でパスワード見えてたってこと? 親コメが古いとかじゃなくて単に間違い(あるいはこの機に乗じてデマを広めようとしている)ならいいんだけど。

          • by Anonymous Coward
            うわー、今までに読み書きパスワードDMを要求するアプリを見かけたことは全くないけど、うっかり連携しちゃうようなことが一度もなくてよかった。

            しかしTwitterほどの有名で大規模なサイトがパスワードをハッシュ化せずに保存しているとは信じたくないな、いやはや。
            • 昔は認証の画面に「以下のことが許可されます」と「許可されません」の一覧表示があって、「許可されません」の方に「パスワードの閲覧」だけが
              書いてありました。親コメはそれを元に書いてるのかと思いますが、DMもその他タイムラインも同じAPIでアクセスするものですし、パスワード原文を要求
              できるというのは聞いたこともないです。アプリに必要なのはアプリ共通のConsumer Key, Consumer Key Secret("CK/CS")と、認証して発行される
              Access Token, Access Token Secret だけです。

              # 全面OAuth化される前にxAuthという選択肢があって、IDとパスワードをアプリに打ち込むとブラウザ不要でトークンを取ってきますよというものでした
              # xAuthではアプリが抜く可能性があるので、それとは違うということを示すためにしばらく「パスワードは渡されませんよ」ということを書いてあったのかもしれないです

              親コメント
            • by Anonymous Coward
              Tweenを始めとしたクライアント系なら必然的にそれがついてますよ。

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

処理中...