特定のクライアントを許可している Twitter ユーザーの Token Credentials を入手する攻撃 - ひだまりソケットは壊れない
怪しいクライアントを許可していないのに勝手に twitter で DM が送信されていた 何やら Twitter で勝手に DM が送られるという事案が発生していた模様。 調査の結果、ある web ページにアクセスしただけで、Twitter の token credentials が攻撃者に知られてしまう *1 ということがわかったらしい。 下記ページにまとめられていたのだけどパッと読んですぐには攻撃手法を理解できなかったので、いろいろ考えたことを書き残しておく。 「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説 - Togetter 簡潔な解説が以下の記事にあったので、簡潔な説明で理解できる人は下記記事参照。 gist:5053810 (DM踏んだだけでアレな件はTwitterのOAuth実装がク○だと思う) 【拡散希望】twitterの新型ウイルスがヤバい URL踏んだ
今月の呼びかけ:IPA 独立行政法人 情報処理推進機構
(ご案内) 2012年9月まで毎月公表しておりました「コンピュータウイルス・不正アクセスの届出状況」につきましては、2012年10月より、四半期毎の公表とさせていただくことになりました。2012年の第3四半期分の届出状況公表は、10月中旬を予定しております。 なお、「今月の呼びかけ」につきましては、従来通り、毎月の公表を予定しております。 最近、インターネット上のサービスである“Twitter(ツイッター)”などのミニブログサービスや、“mixi(ミクシィ)”、“Facebook(フェイスブック)”、“Google+(グーグルプラス)”などの SNS(ソーシャルネットワーキングサービス)が人気です。これらのサービスは、今の自分の行動や考えを簡単にインターネット上に発信できることや、同じ趣味や考えを持つ利用者同士の交流の場として利用できることが特徴となっており、多くの利用者を集めています。そ
本当に知ってる?最低限押さえたいOAuthのマナー|【Tech総研】
前回は、Webサービスやアプリを使っているとよく見かける「許可」ボタンについて、ユーザーの立場に立って解説をしました。「許可」ボタンは、ユーザーが情報を預けているサービス(SNS等)とは別の第三者(アプリ)が、ユーザーの情報を見たり、書き換えたりするために、ユーザーに事前に「許可」を取るためのものでしたね。そして個人情報を収集するスパムアプリの被害を受けないために、ユーザーが「許可」ボタンを押してよいアプリかどうかを判断する方法を3ステップでご紹介しました。 「許可」の仕組みは技術的には「OAuth」(オーオース)と呼ばれ、特にWeb系の開発者にはご存じの方も多いと思います。OAuthは処理を代行してくれるライブラリ等が充実していて、簡単に「動かす」ことができます。しかしOAuth利用の前提となるマナーを理解していないために、知らず知らずのうちにユーザーの信頼を失いかねない行為をしてしまう
Facebookから開発者へ: OAuthとHTTPSを利用せよ | ブログヘラルド
フェイスブックの安全なログイン機能は成功を収めているものの、多くの開発者は未だにHTTPSの利用を躊躇っている(多くの人気の高いアプリがサポートしていない点からも明らか)。 ユーザーが楽しさと安全性と言う究極の選択を行わなければいけない状況を避けるため、フェイスブックは、HTTPSの利用に対する期限を開発者に向けて定めた(OAuth 2.0の利用も併せて)。 過去数週間で、私たちは業界全体でOAuthが標準化していると結論付けました。また、シマンテックと協力し、認証の流れの問題を特定し、より安全になっていることを確認しました。それ故、OAuth & HTTPSへの移行がユーザーと開発者の利益につながると言う結論に達しました。 本日、フェイスブックはディベロッパー・ロードマップにアップデートを行いました。今後、すべてのサイトおよびアプリは、10月1日までにOAuth 2.0に移行し、sign
OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT
OAuth 2.0で Webサービスの利用方法はどう変わるか ソーシャルAPI活用に必須の“OAuth”の基礎知識 株式会社ビーコンIT 木村篤彦 2011/2/2 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール「youRoom」、小規模グループ向けグループウェア「サイボウズLive」、「はてな」のいくつかのサービス、「Yahoo!オークション」、リアルタイムドローツール「Cacoo」などがOAuth 1.0に対応したAPIを公開しています。 ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してきました。これは大きなプレーヤーがサポートしたことも一因ですが、OAuthの持つ以下の2つの特徴によって、「OAuthを使うと、サービスプロバイ
Twitterさん、OAuthのアクセス権限の細分化を! : akiyan.com
Twitterさん、OAuthのアクセス権限の細分化を! 2010-09-07 TwitterのOAuth認証を利用するサービスを作ってみたが... 一昨日の日曜日(9/5)に、クックパッドさんのオフィス提供による 『TFJ CodeCamp #2』 という1日開発合宿に行きまして、TwitterのOAuth認証を使ったサービスを初めて作ったんです。ユーザーのタイムラインを読んでいろいろやってくれるタイプのサービスを。で、実際OAuth認証するサービスを公開することを考えてみたんですが、どーにも無視できないリスクがありまして。 まず、TwitterのOAuth認証のアクセス権限レベルって、「全部のデータが読める」or「何でもできる」しかありません。今回のサービスはタイムラインさえ読めればいいのですが、OAuth認証としては全部のデータを読める要求しかできなくて、その認証をしてもらったならば
TechCrunch
Fave, the app for superfans to connect with like-minded music lovers and obsess over their favorite artists, secured $2 million in an ongoing round, the company exclusively told TechCrunch. Notably, t When blogging first came to the forefront back in the early 2000s, it provided a way to deliver a complex idea to a broad audience, but more than two decades later could there be a way to reinvent th
Twitterの連携アプリを「許可する」ボタンのリスク - Zerobase Journal
TwitterのDM(ダイレクト・メッセージ)機能はメールよりも気軽で便利な連絡手段として普及しつつあります。でも、気をつけてください。あなたが技術者のようにTwitterのことを理解していないのであれば、DMが盗み見られる可能性は、おそらくあなたが考えている以上です。 〔2011年5月追記:個々のアプリに対して付与できる権限を、より細かく制御できるようになりました(参照:Twitterブログ: ミッション: アプリ認証でのアクセス権)。さらには連携アプリの一覧画面もありますので、プライバシーに関する機能が充実しました。詳しくはサードパーティアプリケーションとの連携方法もご覧ください。〕 〔註:本稿はなるべく多くの人に読んで頂けるように、易しく書きました。このように「註」欄で詳しい説明を書いていますが、詳しく知りたい人向けですので、読み飛ばして頂いても構いません〕 「DMで大事な話をするこ
Mobster WorldのスパムDMについて - tzmtkのブログ
ひどい横着して、ついに禁断の手法に手を出します。 だってめんどくさいんだもん。 以下、Twitterでの自分のPostのコピペ。 例のDMが届いてた。Twitterの OAuth同意画面の文言はTwitter側が固定の文言を決めてるはずなので、Mobster側がわざと分かりづらい文言を巧妙に入れているわけではないはず。そもそもConsumerが同意画面に表示する文言をカスタマイズできたら、不正やりたい放題だし Twitter側がAPI単位で Scopeを分けるなりをして、利用同意した場合Twitter上でユーザーのどんな行為をConsumerが代行できてしまうのかをリスクとして同意画面上に明示するべきだとおもう。(そんなのめんどくさいからTwitterはやらなそうだけど) そもそもすべてのfollowersに一括でDMを送れてしまうような機能を、一般公開してるAPIでできるようにしちゃって
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
スパムバスター Twitterのスパムアカウント共有サイト
TechCrunch
589lab.net is Expired or Suspended.
Openid technight6 02
Opera add-ons
http://www.machu.jp/posts/20090801/p01/