―DMで個人情報の取引をするな?―
よく、TwitterのDM(Direct Message)で住所などの個人情報を取引するなと言います。これはなぜでしょうか?
これは別にTwitterのセキュリティが甘いとか、OAuth認証に穴があるとか、そういうわけではなくユーザーが許可したアプリケーションならばAPI経由でDMを見ることができるからです。
Twitterの設定のコネクション
から、これまで許可を出したアプリケーションの一覧を見ることができます。このページでは、許可を取り消すこともできるので使わないアプリケーションの許可は取り消すべきでしょう。
また、個人や小さな企業が運営しているアプリケーションにはなるべく許可を出さないことが大切です。
名のある大手企業や公的機関であればまず大丈夫でしょう。
じゃあ、信頼できるところだけに許可を出せば大丈夫かと言えば、そうでもありません。なぜなら、DMを送った相手が変なところに許可を出していたら、そこから漏れる恐れがあるからです。
―XAuthに気をつけろ!―
ところで、OAuthに似ている名前のXAuthという認証があります。XAuthもTwitterでは利用できるのですが、アカウントとパスワードが必要になります。
OAuthというアカウントとパスワードが不要な仕組みがあるのに、
XAuthというアカウントとパスワードが必要な仕組みを利用するのには、理由があります。
後で説明しますが、OAuthでは一旦Twitterにログインしてから許可を出す必要があります。ウェブサービスであれば、最初からブラウザを使っていますし、既にTwitterにログインしている場合が多いので問題ありません。
ところが、デスクトップアプリケーションの場合、ユーザーは一旦ブラウザに移動してTwitterにログインして許可を出さないといけません。そして、ブラウザに出てきた文字を、アプリケーションに戻ってから入力しないといけません。
こんな面倒な作業を要求するアプリケーションなんて誰も使いたがりません。そこで、デスクトップアプリケーションのために、アカウントとパスワードを使って、簡単に許可を出すXAuthという仕組みが提案されました。
つまり、XAuthを用いるのは普通デスクトップアプリケーションだけです。ウェブサービスでTwitterのアカウントとパスワードを要求するアプリケーションは、か~な~り怪しい。
一回でもアカウントとパスワードを入力すれば、向こうはもうTwitterに自由にログインできるようになってしまうので、後で許可を取り消せばいいという問題ではありません。
もし既にそういうサービスを使ってしまったのなら、すぐに許可を取り消してパスワードを変更しましょう。
……やべ。
0 件のコメント:
コメントを投稿