「パスワードを何回変更しても、妻や彼女から不正アクセスされ続ける」なんて話、 そんな話ある訳ない・・・って思いつつ調べてみたら、 簡単に可能でしたので対策方法についてまとめてみました
「パスワードを何回変更しても、妻や彼女から不正アクセスされ続ける」なんて話、 そんな話ある訳ない・・・って思いつつ調べてみたら、 簡単に可能でしたので対策方法についてまとめてみました
さて、TwitterがBasic認証を廃止して1ヶ月が経とうとしています。 皆さんクライアントをOAuth対応したり、乗り換えたりしたでしょうか? 今までBasic認証で動いていた、ちょっとした捨てコード、どうなってるでしょうか? Twitterが始まった当初、gtktwitterというデスクトップGUIで動くTwitterクライアントを作りました。まぁ作りはそれ程優れた物じゃなくて、RTなんか無い頃でfriends_timelineが見れて、発言出来て、@によるリプライが出来る程度の物でした。 ただ純粋なC言語だけでGTKおよびcurlを使ったクライアントという事もあり、一部のgeekからは人気があったみたいです。 さてこのgtktwitterを今回、Basic認証が消え去った現状でも動くようにしてあげようと思い、今回改造を始めた訳です。 まず大きな壁にぶち当たりました。 Twitter
Twitterさん、OAuthのアクセス権限の細分化を! 2010-09-07 TwitterのOAuth認証を利用するサービスを作ってみたが... 一昨日の日曜日(9/5)に、クックパッドさんのオフィス提供による 『TFJ CodeCamp #2』 という1日開発合宿に行きまして、TwitterのOAuth認証を使ったサービスを初めて作ったんです。ユーザーのタイムラインを読んでいろいろやってくれるタイプのサービスを。で、実際OAuth認証するサービスを公開することを考えてみたんですが、どーにも無視できないリスクがありまして。 まず、TwitterのOAuth認証のアクセス権限レベルって、「全部のデータが読める」or「何でもできる」しかありません。今回のサービスはタイムラインさえ読めればいいのですが、OAuth認証としては全部のデータを読める要求しかできなくて、その認証をしてもらったならば
”なる4”の騒ぎの件で、「OAuthの危険性がわかっているのか?twitter関連アプリの作者は何でもできるんだぞ。たとえば、DMは見放題送り放題だ」という意見を良く見かけるのですが、誤解を招く表現なので、twitterクライアント作者の立場から捕捉しておきます。 (TwitterにおけるOAuth認証についての話です。本文の記述から判別できるとは思いますが、念のため。他サービスの場合、事情が異なってくる場合があります) 少なくともデスクトップで動作するアプリは、これらのリスクは(比較的)低い もちろんスパイウェア等は、この限りではありません。 OAuth認証の流れを図にしてみました(あくまで「おおまかな」図です。色々と、端折っています)。 うだうだと書かれていますが、大事なのは「アクセストークン」です。これさえ覚えてもらえれば、他は全て忘れてしまってかまいません。 twitter関連アプ
「なるほど四時じゃねーの」を解除する方法 に関するライフレシピをご紹介します。nanapi [ナナピ]は、みんなで作る暮らしのレシピサイトです。nanapiでライフレシピ生活! あなたのライフレシピを待っている人たちがいます あなたが生活でちょっとうまくやっていること、 それを知りたがっている人たちがいます! あなたの投稿で、 みんなの生活をハッピーにしてみませんか? nanapiに参加する(無料) はじめに 朝まで眠れないでTwitterを眺めていると「なるほど四時じゃねーの」がたくさん流れてくることがあります。 これは「なるほど四時じゃねーの」というWebサービス(http://4ji.ssig33.com/)なのですが、登録してしまうと毎日「なるほど四時じゃねーの」と発言したり、日曜日に「なるほどSUNDAYじゃねーの」と発言したり、よくわからないタイミングでよくわからない発言を
Oauthに移行して何が嬉しいかと言うと、利用者数がわかることだったりします。認証した人数がわかるサービスがあるんですね。 先月、その件がTwitterクライアント作者間で話題になりまして、その時のP3ユーザ数はドンジリの6000人だったのですが、それからあれよあれよと一週間に1000人のペースで増え続け(!)、遂に本日、一万人の大台を突破しました! しかして@t_trace曰く、「元々P3ユーザはその位居たはず。Basic認証が廃止されると聞いて慌ててアップデートしてるだけなんじゃない?」とのこと。 …そうなんですか? まあとにかく、一万人ものユーザが居る、と言うことは心の大きな支えになります。今後ともガンガン便利な機能を(思いついたら)実装していこうと思いますので、よろしくお願いします。 なお、P3に対する質問などはこちらのエントリへのコメントでお願いします。他のエントリにコメントされ
**Post Now browsing to TwitterをOAuth認証に対応しました | Web scratch**でGreasemonkeyスクリプトの「Post Now browsing to Twitter」をOAuth認証に対応したものを作りました。 OAuthのJavaScript実装はいくつかあるみたいですがGreasemonkeyで使う感じになってるものは無かったみたいなので、OAuth.jsを使ったtwitterでのOAuth認証を手助けするラッパーみたいなものを書きました。 xAuthを使えば楽な気もしますがブラウザベースのものはxAuthを使わずにOAuthを使ってねとの事です 大部分は TwitterクライアントのOAuth対応(JavaScript編) | tomatomax.net Twitter API を OAuth で認証するスクリプトを 0 から書い
OAuth の Read と Write 先日, ツイート君に会話をまとめてもらい, 大変嫌な思いをした. Twitter の OAuth には Read 権限と Write 権限があって, Write 権限があると つぶやく 誰かをフォローする 誰かをリムーブする などのことが行えてしまう. つまり, Write 権限を要求するアプリケーションを許可することは, 「このアプリケーションが私のアカウントを使って勝手に変なことをつぶやいたり, 勝手に誰かをフォローしたり, 勝手に誰かをリムーブしても文句は言いませんよ」ということに等しい. さて, それでは OAuth の権限付与画面を見てみよう. ここでは冒頭に上げたツイート君が権限をこちらに要求してきている. では, いったい何の権限を要求してきているのだろうか. Read なのだろうか. それとも Write なのだろうか. 答えは R
「OAuth を使ってソーシャル・ネットワーキング Web サイトにアクセスする: 第 2 回: OAuth 対応のWeb 版 Twitter クライアントを作成する」のサンプルをいじくっていて気づいたんですが、TwitterのOAuth認証を使ったサービスを開発する場合、AccessTokenの管理方法に注意が必要です。 あんまり自信がないので、誤りがあればどんどん指摘してください。 以下の条件が成り立つ場合、サービス内でなりすましができてしまいます。 サービス(Consumer)がtwitterIDとAccessTokenをひもづけて保管している。 サービスがブラウザへ渡すcookieにtwitterIDをそのまま保存している ブラウザからサービスへtwitterIDを含むCookieが渡された場合、twitterIDをキーとしてサービス内に保存しているAccessTokenを検索し、
「おーおーっすっ!」 てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です>< OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー
“OAuth” は何と読むのか、が話題になることがある。 たしか最初は “oath” と同じ発音だった(これが「オース」)けど 今は “Oh Auth” と発音をするのだと書かれていたのを見た気がするので “oauth pronounce” で検索してみたらまさにそれが出てきた。 "OAuth" is pronounced "Oh Auth" and has two syllables "OAuth" is pronounced "Oh Auth" and has two syllables "OAuth" の発音は "Oh Auth" で、2音節だよ。 経緯についてはこう。 OAuth was originally called "OpenAuth" but then AOL took the name, so we renamed to "OAuth". We originally p
Twitter @AnywhereというDeveloper向けの新サービスが出てた。このサービス、この自分的にはいろいろな理由によりちゃんとチェックしておく必要がある。ので久々にブログ書く。 Facebook Connect (JavaScript) を知ってる人は、それがTwitterでもできるようになった、と思ったらいい。つまりサーバレスでTwitterに接続してAPIをJavaScriptから利用できるようになった。今でもJSONPである程度APIの利用はできたが、JSONPとは違い認証が必要な操作、例えば書き込み系の操作もOK(ただしversion 1のAPIでは許されている操作はそれほどない)。 詳しくはこちらの記事とかをどうぞ。 Twitter 新 API のドキュメント「Getting Started with @Anywhere」日本語訳 - WebOS Goodies さ
Twitterにはてなフォトライフの画像を自動投稿できる連携機能ができました。 先日、はてなブックマークでリリースされたTwitter連携機能と同じく、これを使ってはてなフォトライフに画像をアップすると、ほぼ同時にTwitterに自動投稿できる便利機能です。 今いる場所の風景や食べているものなど、携帯やPCからどんどん投稿すれば、それがウェブアルバムに保管できるうえ、Twitterにも投稿できるとあってご好評いただいています。 11月の開発合宿で誕生。色々なサービスと連携できる「OAuth(オーオース)」認証を利用 今回の連携機能は、はてなが定期的に開催している「サービス開発合宿」で誕生しました。開発したのは運用チームのエンジニア、id:antipopです。 「自分自身、Twitterとフォトライフの両方を愛用していて、フォトライフの画像をTwitterに自動投稿できたらいいな、とずっと思
はてなブックマークのブックマーク数が多い順に記事を紹介する「はてなブックマーク数ランキング」。12月9日(月)~12月15日(日)〔2024年12月第2週〕のトップ30です*1。 順位 タイトル 1位 無自覚にメンバーの心理的安全性を奪っていた経験から得た学び - Speaker Deck 2位 重度知的障害の女性が活躍する仕事 川崎 “あるシステム”が決め手に 職場全体にメリットも | NHK 3位 犬とおばあちゃん助けたら最近かなりいい感じ 4位 セロトニンを補う薬がびっくりするほど効く人たち | Books&Apps 5位 コワーキングスーパー銭湯ランキング(東京近郊) 6位 あるXユーザーの「娘が4~5歳の頃にハマったボドゲ」全26種の紹介ツリーが参考になる→クリスマスに子どもからボドゲを所望された親御さんは必見 - Togetter [トゥギャッター] 7位 一つ嫌なことがあると
忘れたころに追記 API で _twitter_sess は発行されているようですが、web の UI にアクセスはできなくなったみたいです(つまり豪快さは解消されてます) OAuth コンシューマが twitter API にアクセスすると、ブラウザでログインしたときと同様のセッションクッキーが発行されている模様です GET https://twitter.com/account/verify_credentials.xml Authorization: OAuth realm="", oauth_consumer_key="***", oauth_nonce="***", oauth_signature="***", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1253358338", oauth_token="***",
最近、TwitterのDMスパムなどで話題のOAuthですが、仕事で使ってみて色々思うところもあるのでまとめておく。 OAuthは安全か まず、 OAuthでよく言われてるようにみえるパスワードをサービスに渡さないから安全ということに関して。簡単に言うと、「パスワード渡すよりは安全だけどまぁ信用していいかどうかの判断は必要だよね」ってところ。 OAuthは難しい話を抜きにしてしまえば、期限つきパスワード(Twitterは無期限っぽいですが)をサービスごとに発行するようなものだと思う。パスワードを渡した場合と違って、パスワードを書き換えられてログインできなくなるということはないが、APIで実行できることは基本的に出来るのでOAuthにもそれなりのリスクはある。 リスクと言ってもパスワードを第三者に渡すよりははるかに安全。先程述べたようにパスワードを書き換えられる心配もないし、仮に第三者のサ
昨夜から今朝にかけて、TwitterでMobsterWorldというゲームの招待がDMで送られてきた。あまり普段DMでやりとりをするような人からではなかったので、ほうっておいたのだが、招待に応じると、自分のTwitterアカウントを使って、DMを送るようなものだったらしい。詳しくは以下のITmediaの記事を参照。 TwitterでスパムDMが出回っている。DMに書かれたURLのページでボタンをクリックすると、同じDMをフォロワーに送り付けるという仕組み。 ITmedia: TwitterでスパムDM出回るフォロワーに自動でDM送りつけ これは、OAuthを利用して、正規の手続きを経て、Twitterのアカウントを利用しているものだ。詳しくは、以下のまちゅダイアリーを参照。 これはウイルスや脆弱性じゃなくて、OAuthという仕組みを見事に悪用している。 OAuth詐欺とでも言えばいいのか。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く