Re: [twmode-users] xAuthの対応(Basic 認証廃止)

[Tadashi MATSUO]

松尾です。

OAuth対応についてですが、HMAC-SHA1の実装がEmacs23(と恐らく
23以降のもの)では正しく動いてなかったので修正しました。
文字列が自動的にmultibyteになるようになったためみたいです。
Emacs23以降で試される方は今のHEADを使ってください。

また、Emacs21でもOAuthが使えるようにsha1.elとhex-util.elを
emacs21/に追加してあります。
(Emacs22同梱のGnusに含まれているものです。)
FLIMをインストールしてあれば必要ありません。

---
松尾 直志 t...@mymail.twin.jp

--

___
twmode-users mailing list
twmode-users@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/twmode-users

Re: [twmode-users] xAuthの対応(Basic 認証廃止)

[Yuto Hayamizu]

はやみずです

 ・Emacs LISPで書かれているものを配布する形式のためconsumer keyを
   秘密にできない(OAuthのrequest token取得部分の意義が薄い?)。

consumer keyが秘密にできないのはデスクトップアプリケーション自体の性質
だと思うのですが、これがユーザーに知れることで何かまずいことが起きたり
するんでしょうか？



Yuto Hayamizu

Master's degree student at Kitsuregawa Laboratory
Department of Information and Communication Engineering
Graduate School of Information Science and Technology
University of Tokyo

From: Tadashi MATSUO t...@mymail.twin.jp
Subject: Re: [twmode-users] xAuthの対応(Basic認証廃止)
Date: Tue, 04 May 2010 01:46:14 +0900 (JST)

 松尾です。
 
 xAuthは単に登録すれば使えるのかと思っていましたが、
 Twitter側に説明を送る必要があるみたいですね。
 
 Using xAuth | dev.twitter.com
 http://dev.twitter.com/pages/xauth
   xAuth access is restricted to approved applications. If your
   application is a desktop or mobile application and the standard web
   OAuth flow or PIN-code out-of-band flow is not right for you, send a
   detailed message to a...@twitter.com to request xAuth
   privileges. Include the name of your application, the consumer key,
   the application ID (if available), and a summary of how xAuth is
   best-suited for your application.
 
 xAuthを希望する理由としては
 ・これまで通りEmacsのみで動作するためにはGUIブラウザを経由する
   OAuthは望ましくない。
 ・Emacs LISPで書かれているものを配布する形式のためconsumer keyを
   秘密にできない(OAuthのrequest token取得部分の意義が薄い?)。
 といったところでしょうか。
 
 consumer key等については以前にはやみずさんが登録されたものを
 使えば良さそうです。
 
 From: Yuto Hayamizu y.hayam...@gmail.com
 Subject: Re: [twmode-users] OAuth
 Date: 26 Feb 2010 00:19:33 +0900
 なるほど。オフィシャルにBasic認証を使わないように推奨しているのであれば、
 それに従うのがよさそうですね。とりあえずtwmodeで登録しておきました。
 http://twitter.com/oauth_clients/details/85919
 
 以前のOAuthはアプリケーションの認証で一度ブラウザを起動する必要があった
 ように思いますが、今はブラウザを使わなくても良いようになっていたりする
 んですかね。
 
 ---
 松尾 直志 t...@mymail.twin.jp
 
 --
 ___
 twmode-users mailing list
 twmode-users@lists.sourceforge.net
 https://lists.sourceforge.net/lists/listinfo/twmode-users

--
___
twmode-users mailing list
twmode-users@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/twmode-users

Re: [twmode-users] xAuthの対応(Basic 認証廃止)

[Tadashi MATSUO]

松尾です。

  ・Emacs LISPで書かれているものを配布する形式のためconsumer keyを
秘密にできない(OAuthのrequest token取得部分の意義が薄い?)。
 
 consumer keyが秘密にできないのはデスクトップアプリケーション自体の性質
 だと思うのですが、これがユーザーに知れることで何かまずいことが起きたり
 するんでしょうか？

consumer keyが一般に知られてしまうと誰でもその名義でrequest tokenを
発行できてしまうのでTwitter側が問題のあるアプリケーションを遮断する
ようなことがあればトラブルになりそうです。

また、OAuthアプリを使うときにはユーザ側でそのアプリを信頼する旨を
Twitterで登録するのだと思うのですが、誰でもその名義を使えるなら
信頼してもらう意味がなくなるんじゃないでしょうか。
webサービスであればTwitter側からAccess Tokenを返すときにその
webサービスに誘導すれば良さそうですが、デスクトップアプリケーション
ではそれができません。実際、デスクトップアプリケーションを使う時点で
それを信頼するしかないですしOAuthで改めてconsumer keyを確認しても
意味がありません。

OAuthを使ってもTwitter側でクライアントを認証できたりセキュリティが
高まるわけではないので、手順が面倒(ブラウザが必要)な分だけxAuthより
不便じゃないか、というつもりでした。

 6月末にbasic認証廃止ということなので、今月末にOAuth対応版を一度リリース
 しておきたいですね。最近の動向を全然把握できていないので、把握している
 方が部分的にでもNEWSファイルを更新して頂けると助かります。僕のほうでも
 徐々に進めていこうとおもいます。
すみません。複数timelineへの対応以降はその都度書くようにしていますが
0.9.0〜2010年03月までの分は対応できてませんでした…。
大きなところでは
・search対応
・direct message対応
・reply元表示
・reverse-mode
・時刻表示自動更新(%@)
でしょうか。こちらでも確認して対応したいと思います。

---
松尾 直志 t...@mymail.twin.jp

--
___
twmode-users mailing list
twmode-users@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/twmode-users