アカウント名:
パスワード:
Twitterが開示するIPアドレス [twimg.com] をご覧ください。ユーザーによるログイン動作以外もクライアントや連携サービスからの認証も記録されますが、日時とIPアドレス以外の情報が載っていないので、ユーザーのIPアドレスなのかログインした連携サービスのサーバのIPアドレスなのかも分からないのです。
だから、AWSやレンタルサーバだったら提携サービスなんだろうなぁ、と推測することしかできません。詳しい解説は https://twitter.com/jz5/status/1138363470183686144 [twitter.com] など。
そして、Twitterは発言ごとのIPアドレスも記録していないので、本人が投稿したのか、乗っ取られて投稿され
(投稿含む)提携サービスの一般論としてはそうかもしれませんが、該当サービスでは
1. ログイン画面を真面目に読む
このアプリケーションは次のことができます。タイムラインのツイートを見る。フォローしている人を見る次のことはできません。新しくフォローするプロフィールを更新する。ツイートする。ダイレクトメッセージを見る。登録済みのメールアドレスを取得する。Twitterのパスワードを見る。
このアプリケーションは次のことができます。
タイムラインのツイートを見る。フォローしている人を見る
次のことはできません。
新しくフォローするプロフィールを更新する。ツイートする。ダイレクトメッセージを見る。登録済みのメールアドレスを取得する。Twitterのパスワードを見る。
2. 上記画面のURLはtwitter社なので、サービス運営者は嘘を書いていない(できない)という知識がある https://api.twitter.com/oauth/authorize?oauth_token=XXXXXX [twitter.com]
3. 上記の「ツイートする」が「投稿」に当たるという知
なおNISC内閣サイバーセキュリティセンター(国)が「おまえら最低これくらい知っとけ」という冊子を出してますが小さな中小企業とNPO向け情報セキュリティハンドブック [nisc.go.jp]
6章12 注意するべきソーシャルログイン(略)14 権限を与えるサービス連携にも注意ソーシャルログインと混同されやすいものに、SNS に関する機能連携として「サービス・アプリ連携」というものがあります。(略)これはソーシャルログインとは別の性格の機能ですが、ときに「連携するアプリやサービスに投稿を認める(=権限を与える)」という部分が、攻撃者による攻撃の手段として利用されることもあります。
6章
12 注意するべきソーシャルログイン(略)
14 権限を与えるサービス連携にも注意
ソーシャルログインと混同されやすいものに、SNS に関する機能連携として「サービス・アプリ連携」というものがあります。
(略)
これはソーシャルログインとは別の性格の機能ですが、ときに「連携するアプリやサービスに投稿を認める(=権限を与える)」という部分が、攻撃者による攻撃の手段として利用されることもあります。
というようにソーシャルログイン(=認証)と権限を与える(=認可)を分けて説明し、さらに権限のうち「連携するアプリやサービスに投稿を認める(=権限を与える)」という部分がヤバイ、と説明しています。警察も最低これくらい知っといてほしいものです。
# ちなみにこの本(と一般人向けハンドブックは)、セキュリティ的に理不尽な要求が来た時に「国が禁止してるので...」と断るのに便利です(実際は禁止とまではいえず非推奨くらいで罰則はないが)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
悪いのは Twitter 運営で、警察はこうするしかない (スコア:4, 参考になる)
Twitterが開示するIPアドレス [twimg.com] をご覧ください。
ユーザーによるログイン動作以外もクライアントや連携サービスからの認証も記録されますが、日時とIPアドレス以外の情報が載っていないので、
ユーザーのIPアドレスなのかログインした連携サービスのサーバのIPアドレスなのかも分からないのです。
だから、AWSやレンタルサーバだったら提携サービスなんだろうなぁ、と推測することしかできません。
詳しい解説は https://twitter.com/jz5/status/1138363470183686144 [twitter.com] など。
そして、Twitterは発言ごとのIPアドレスも記録していないので、本人が投稿したのか、乗っ取られて投稿され
Re: (スコア:0)
(投稿含む)提携サービスの一般論としてはそうかもしれませんが、該当サービスでは
1. ログイン画面を真面目に読む
2. 上記画面のURLはtwitter社なので、サービス運営者は嘘を書いていない(できない)という知識がある
https://api.twitter.com/oauth/authorize?oauth_token=XXXXXX [twitter.com]
3. 上記の「ツイートする」が「投稿」に当たるという知
Re:悪いのは Twitter 運営で、警察はこうするしかない (スコア:0)
なおNISC内閣サイバーセキュリティセンター(国)が「おまえら最低これくらい知っとけ」という冊子を出してますが
小さな中小企業とNPO向け情報セキュリティハンドブック [nisc.go.jp]
というようにソーシャルログイン(=認証)と権限を与える(=認可)を分けて説明し、さらに権限のうち「連携するアプリやサービスに投稿を認める(=権限を与える)」という部分がヤバイ、と説明しています。
警察も最低これくらい知っといてほしいものです。
# ちなみにこの本(と一般人向けハンドブックは)、セキュリティ的に理不尽な要求が来た時に「国が禁止してるので...」と断るのに便利です(実際は禁止とまではいえず非推奨くらいで罰則はないが)