アカウント名:
パスワード:
何故いちいちパスワードを入力しないと認証ができないのかもっとセキュアな方法があるんじゃない?
それがOAuthですよ。・RSAのサーバーは、Twitterのサーバに利用許可申請を出す・ユーザーは、Twitter のサーバにユーザー/パスワードを送って認証する(すでに認証済のブラウザからのアクセスの場合、ユーザー/パスワード送出は不要)・Twitterは、ユーザーに「RSAに対して利用許可を出してもいいかどうか」確認する・OKの場合、Twitterのサーバはトークンを発行しRSAのサーバに接続許可を出す・このトークンを使うことで、RSAサーバは許可が出されたユーザーの名義でTweetを投稿できたりするようになる。という流れ。ユーザー/パスワードの認証はTwitterのサーバに直接送られますので、RSAのサーバーにユーザー/パスワードを知らせることはありません。
だから、「フォームに入力したユーザー名とパスワードがRSA Conferenceのサーバーに送信される」というのであれば、明らかに「OAuthは正しく使われていない」ということです。OAuthが悪いのではなく、RSAの登録ページの実装があきらかにおかしい。
Twitterにログイン済みならパスワードは聞かれないよ(許可するかどうかの選択だけ)。
ブラウザアプリを呼び出して認証画面を表示したりする方式が使えない環境で実行されるアプリとかで必要になるから残されてるんじゃないのAPIキーみたいな奴を取得して入力してもらう方式もあるけど、素人に使わせるには面倒臭すぎる
APIキーを入力してもらうのはプログラム側でブラウザ実装し、構文解析してキーをとってくるのが面倒だから入力してもらってるだけで、アプリ側が全部やるのは、実は不可能じゃないんだよ(自分が作ったのは手抜きで入力してもらってる)
|。・ω・)。o (Twitterアプリの作者なので ACにしようかと思ったけどいいや)
具体的には?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
Twitterの認証のほうがおかしくない? (スコア:0)
何故いちいちパスワードを入力しないと認証ができないのか
もっとセキュアな方法があるんじゃない?
Re:Twitterの認証のほうがおかしくない? (スコア:1)
それがOAuthですよ。
・RSAのサーバーは、Twitterのサーバに利用許可申請を出す
・ユーザーは、Twitter のサーバにユーザー/パスワードを送って認証する(すでに認証済のブラウザからのアクセスの場合、ユーザー/パスワード送出は不要)
・Twitterは、ユーザーに「RSAに対して利用許可を出してもいいかどうか」確認する
・OKの場合、Twitterのサーバはトークンを発行しRSAのサーバに接続許可を出す
・このトークンを使うことで、RSAサーバは許可が出されたユーザーの名義でTweetを投稿できたりするようになる。
という流れ。
ユーザー/パスワードの認証はTwitterのサーバに直接送られますので、
RSAのサーバーにユーザー/パスワードを知らせることはありません。
だから、「フォームに入力したユーザー名とパスワードがRSA Conferenceのサーバーに送信される」というのであれば、明らかに「OAuthは正しく使われていない」ということです。OAuthが悪いのではなく、RSAの登録ページの実装があきらかにおかしい。
Re: (スコア:0)
Twitterにログイン済みならパスワードは聞かれないよ(許可するかどうかの選択だけ)。
Re: (スコア:0)
ブラウザアプリを呼び出して認証画面を表示したりする方式が使えない環境で実行されるアプリとかで必要になるから残されてるんじゃないの
APIキーみたいな奴を取得して入力してもらう方式もあるけど、素人に使わせるには面倒臭すぎる
Re:Twitterの認証のほうがおかしくない? (スコア:2)
APIキーを入力してもらうのはプログラム側でブラウザ実装し、
構文解析してキーをとってくるのが面倒だから入力して
もらってるだけで、アプリ側が全部やるのは、実は不可能
じゃないんだよ(自分が作ったのは手抜きで入力してもらってる)
|。・ω・)。o (Twitterアプリの作者なので ACにしようかと思ったけどいいや)
Re: (スコア:0)
具体的には?