アカウント名:
パスワード:
Twitterが開示するIPアドレス [twimg.com] をご覧ください。ユーザーによるログイン動作以外もクライアントや連携サービスからの認証も記録されますが、日時とIPアドレス以外の情報が載っていないので、ユーザーのIPアドレスなのかログインした連携サービスのサーバのIPアドレスなのかも分からないのです。
だから、AWSやレンタルサーバだったら提携サービスなんだろうなぁ、と推測することしかできません。詳しい解説は https://twitter.com/jz5/status/1138363470183686144 [twitter.com] など。
そして、Twitterは発言ごとのIPアドレスも記録していないので、本人が投稿したのか、乗っ取られて投稿され
(投稿含む)提携サービスの一般論としてはそうかもしれませんが、該当サービスでは
1. ログイン画面を真面目に読む
このアプリケーションは次のことができます。タイムラインのツイートを見る。フォローしている人を見る次のことはできません。新しくフォローするプロフィールを更新する。ツイートする。ダイレクトメッセージを見る。登録済みのメールアドレスを取得する。Twitterのパスワードを見る。
このアプリケーションは次のことができます。
タイムラインのツイートを見る。フォローしている人を見る
次のことはできません。
新しくフォローするプロフィールを更新する。ツイートする。ダイレクトメッセージを見る。登録済みのメールアドレスを取得する。Twitterのパスワードを見る。
2. 上記画面のURLはtwitter社なので、サービス運営者は嘘を書いていない(できない)という知識がある https://api.twitter.com/oauth/authorize?oauth_token=XXXXXX [twitter.com]
3. 上記の「ツイートする」が「投稿」に当たるという知識がある
4. (できれば)認証と認可は違うというITやプロトコル関連知識
を行っていれば、サービス運営者の主張する
TwiGaTenのトークンは「読み込み」しかできないので、TwiGaTenからモロ画像を投稿することは不可能である。
は事前に分かったと思うのですが
APIよく理解してない人が、読み込みしか使わないのにどっかのコードコピペでフル認可とかしてたらまずいでしょうが。
なおNISC内閣サイバーセキュリティセンター(国)が「おまえら最低これくらい知っとけ」という冊子を出してますが 小さな中小企業とNPO向け情報セキュリティハンドブック [nisc.go.jp]
6章12 注意するべきソーシャルログイン(略)14 権限を与えるサービス連携にも注意ソーシャルログインと混同されやすいものに、SNS に関する機能連携として「サービス・アプリ連携」というものがあります。(略)これはソーシャルログインとは別の性格の機能ですが、ときに「連携するアプリやサービスに投稿を認める(=権限を与える)」という部分が、攻撃者による攻撃の手段として利用されることもあります。
6章
12 注意するべきソーシャルログイン(略)
14 権限を与えるサービス連携にも注意
ソーシャルログインと混同されやすいものに、SNS に関する機能連携として「サービス・アプリ連携」というものがあります。
(略)
これはソーシャルログインとは別の性格の機能ですが、ときに「連携するアプリやサービスに投稿を認める(=権限を与える)」という部分が、攻撃者による攻撃の手段として利用されることもあります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
悪いのは Twitter 運営で、警察はこうするしかない (スコア:4, 参考になる)
Twitterが開示するIPアドレス [twimg.com] をご覧ください。
ユーザーによるログイン動作以外もクライアントや連携サービスからの認証も記録されますが、日時とIPアドレス以外の情報が載っていないので、
ユーザーのIPアドレスなのかログインした連携サービスのサーバのIPアドレスなのかも分からないのです。
だから、AWSやレンタルサーバだったら提携サービスなんだろうなぁ、と推測することしかできません。
詳しい解説は https://twitter.com/jz5/status/1138363470183686144 [twitter.com] など。
そして、Twitterは発言ごとのIPアドレスも記録していないので、本人が投稿したのか、乗っ取られて投稿され
Re:悪いのは Twitter 運営で、警察はこうするしかない (スコア:0)
(投稿含む)提携サービスの一般論としてはそうかもしれませんが、該当サービスでは
1. ログイン画面を真面目に読む
2. 上記画面のURLはtwitter社なので、サービス運営者は嘘を書いていない(できない)という知識がある
https://api.twitter.com/oauth/authorize?oauth_token=XXXXXX [twitter.com]
3. 上記の「ツイートする」が「投稿」に当たるという知識がある
4. (できれば)認証と認可は違うというITやプロトコル関連知識
を行っていれば、サービス運営者の主張する
は事前に分かったと思うのですが
APIよく理解してない人が、読み込みしか使わないのにどっかのコードコピペでフル認可とかしてたらまずいでしょうが。
Re: (スコア:0)
なおNISC内閣サイバーセキュリティセンター(国)が「おまえら最低これくらい知っとけ」という冊子を出してますが
小さな中小企業とNPO向け情報セキュリティハンドブック [nisc.go.jp]