「OAuth認証が通ると、アプリ作者からはDMも何もかも見放題」という書き方は誤解を招く - aruto's diary

”なる4”の騒ぎの件で、「OAuthの危険性がわかっているのか？twitter関連アプリの作者は何でもできるんだぞ。たとえば、DMは見放題送り放題だ」という意見を良く見かけるのですが、誤解を招く表現なので、twitterクライアント作者の立場から捕捉しておきます。 （TwitterにおけるOAuth認証についての話です。本文の記述から判別できるとは思いますが、念のため。他サービスの場合、事情が異なってくる場合があります） 少なくともデスクトップで動作するアプリは、これらのリスクは（比較的）低い もちろんスパイウェア等は、この限りではありません。 OAuth認証の流れを図にしてみました（あくまで「おおまかな」図です。色々と、端折っています）。 うだうだと書かれていますが、大事なのは「アクセストークン」です。これさえ覚えてもらえれば、他は全て忘れてしまってかまいません。 twitter関連アプ

[ayatorch]

みてる: 「OAuth認証が通ると、アプリ作者からはDMも何もかも見放題」という書き方は誤解を招く - TWILIGHT TWINKLE STAR ☆

[fujimotta]

備忘録

[from_kyushu]

要はssig33の言うとおり、自分が書いた(もしくは全容が把握できる)OAuthアプリ以外は信用するな、ということですね。

[ryuusuijyoudou]

twitter関連アプリケーションは、(OAuth対応のものは）すべて、アクセストークンを使ってサーバにアクセスします。逆にいえば、これが無い場合、認証済みアプリの作者とはいえ、何もできません。

[F-SQUARE]

クライアントがワーム的なものだった場合は？

[kaerucircus]

ここは情弱の釣り堀ですか！デスクトップアプリだって動的アップデートもできるし、悪意のある制御コードがあれば、同じだっつーの！そもそもTwitterの権限制御がザルなのにみんながホイホイOauthの権限を渡す事を問題に

[manaten]

結局アプリ制作者が信頼できるかが全て

[mikage014]

アプリを信頼できるかどうかは、悪評が立ったときにアプリ作者が不利益を被るかどうかに置き換えて考えるといいと思う。

[kits]

いずれにせよアプリケーションとその作者が信頼できるかどうかが問題、と解釈。

[raitu]

「なぜ「デスクトップ型アプリは安全で、サーバ型アプリはそうでない」のか」アクセストークンの存在。まあデスクトップアプリでも、作者がアクセストークン取得後、ネット経由でアクセストークン取得出来なくもない

[teramako]

デスクトップアプリ型&自動アップデート機能付き"なる４"を作れば例の事件と同じことが出来ますね！

[solidstatesociety]

OAuth認証が通ると、アクセストークンが得られ、アプリ作者じゃなくてもトークン保持者がDMも何もかも見放題　って読める

[szks]

何が誤解なのかよくわからない。デスクトップ型でもサーバ型でも悪意があればリスクは同じでは

[yuichi0613]

非常にわかりやすい

[y-kawaz]

実際トークンあればDMも見放題なんだし、拡散元の人もローカルアプリはともかくWEBアプリは信用するなって言ってたし、殆ど誤解は無いと思うんだが。／この記事タイトルの方がよっぽど意識低下の誤解を招くだろ

[goingzero]

DM見放題って言われても赤の他人のDM見たところで何も得しないとは思う

[kkeisuke]

OAuth認証の流れ

[ktasaka]

質問です。つまり、twitterは基本的に（OAuth認証の）twitterクライアントソフトを使うべきでwebブラウザ上のtwitterは避けたほうがいいのですか？

[lovely]

あとで

[mashori]

だからwebアプリにOAuth認証させるのは自分のセキュリティ意識を考えた上で行いなさいよ、という話。

[napsucks]

誰も誤解してないと思うけど？OAuthはID/Passを相手に渡すよりはマシというだけで、トークン持ちが『DMも何もかも見放題』なことに変わりはない。問題は特にサーバ型アプリが内部で何をやってるかユーザに分からないこと

[tmurakam]

アプリ作者の書いたロジックが自分のコンピュータで動く時点で、作者は何でもできると思うのですが

[kasumani]

[via:packrati.us]「OAuth認証が通ると、アプリ作者からはDMも何もかも見放題」という書き方は誤解を招く - TWILIGHT TWINKLE STAR ☆ (56 users) http://bit.ly/cWMfXU – はてなブックマーク::Hotentry (hatebu) http://twitter.com/hatebu/statuses/20252394062

[hiroshi_revolution]

【はてブITホッテントリ】 「OAuth認証が通ると、アプリ作者からはDMも何もかも見放題」という書き方は誤解を招く - TWILIGHT TWINKLE STAR ☆

[mame-tanuki]

これは分かり易い説明。クライアントアプリとＷｅｂアプリでは発行されたアクセストークンの保存場所が異なる、という話。

[taku-o]

「アクセストークンを管理するのはあなたです」「悪意あるアプリケーションを起動しない限り」このあたりの前提条件が無理あるような。ま、でも、パスワード渡すより全然安全。/いや、AccessToken盗まれても大丈夫だよ。

[s-tomo]

特に見落としてた機能があった訳ではなかった！！

[ken2db6]

ほうほう。