パスワードを忘れた? アカウント作成

自宅サーバーでTwitter連携サービスを運営していた開発者、利用者の投稿が原因で家宅捜索を受ける」記事へのコメント

  • Twitterが開示するIPアドレス [twimg.com] をご覧ください。
    ユーザーによるログイン動作以外もクライアントや連携サービスからの認証も記録されますが、日時とIPアドレス以外の情報が載っていないので、
    ユーザーのIPアドレスなのかログインした連携サービスのサーバのIPアドレスなのかも分からないのです。

    だから、AWSやレンタルサーバだったら提携サービスなんだろうなぁ、と推測することしかできません。
    詳しい解説は https://twitter.com/jz5/status/1138363470183686144 [twitter.com] など。

    そして、Twitterは発言ごとのIPアドレスも記録していないので、本人が投稿したのか、乗っ取られて投稿され

    • by Anonymous Coward on 2019年06月14日 19時46分 (#3633668)

      (投稿含む)提携サービスの一般論としてはそうかもしれませんが、該当サービスでは

      1. ログイン画面を真面目に読む

      このアプリケーションは次のことができます。

      タイムラインのツイートを見る。
      フォローしている人を見る

      次のことはできません。

      新しくフォローする
      プロフィールを更新する。
      ツイートする。
      ダイレクトメッセージを見る。
      登録済みのメールアドレスを取得する。
      Twitterのパスワードを見る。

      2. 上記画面のURLはtwitter社なので、サービス運営者は嘘を書いていない(できない)という知識がある
        https://api.twitter.com/oauth/authorize?oauth_token=XXXXXX [twitter.com]

      3. 上記の「ツイートする」が「投稿」に当たるという知識がある

      4. (できれば)認証と認可は違うというITやプロトコル関連知識

      を行っていれば、サービス運営者の主張する

      TwiGaTenのトークンは「読み込み」しかできないので、TwiGaTenからモロ画像を投稿することは不可能である。

      は事前に分かったと思うのですが

      APIよく理解してない人が、読み込みしか使わないのにどっかのコードコピペでフル認可とかしてたらまずいでしょうが。

      • by Anonymous Coward

        なおNISC内閣サイバーセキュリティセンター(国)が「おまえら最低これくらい知っとけ」という冊子を出してますが
        小さな中小企業とNPO向け情報セキュリティハンドブック [nisc.go.jp]

        6章

        12 注意するべきソーシャルログイン
        (略)

        14 権限を与えるサービス連携にも注意

        ソーシャルログインと混同されや
        すいものに、SNS に関する機能連携
        として「サービス・アプリ連携」とい
        うものがあります。

        (略)

        これはソーシャルログインとは別
        の性格の機能ですが、ときに「連携
        するアプリやサービスに投稿を認め
        る(=権限を与える)」という部分が、
        攻撃者による攻撃の手段として利用
        されることもあります。

人生unstable -- あるハッカー

処理中...