はやみずです OAuthに関しては随分残念な気分にさせられますが、よく考えればBasic認証では
- ユーザーはID/passを入力する必要あり - なりすましは簡単 であったのが、OAuthによって - ユーザーはID/passを入力する必要なし - なりすましは簡単 となっただけなので、状況としては悪くはなっていないかと思います。問題は、 Twitter側がOAuthによってなりすましを防げると考えているかどうかというあ たりでしょうか。。 ちょっと調べてみたところ、OAuth対応のメジャーどころはみんなconsumer key/secretをコードに埋め込んでいるみたいです。Tweenの実行バイナリを ildasmで逆アセンブルしたら簡単にconsumer key/secret (iOQ*** and 5PS***) が抜き出せて、なりすましできました。 http://twitter.com/hayamiz/status/15270387223 とりあえず、この実例をもってすればデスクトップクライアントは容易になり すまし可能と示せるので、twittering-modeでなりすましをされたときの言い訳 にも使えるでしょう。 xAuthに関しては、この例も添付してconsumer key/secretはxAuth使用を認める か否かに関係ないから、問題があるならちゃんと理由を説明してくれというメー ルをしておきました。 ---- Yuto Hayamizu Master's degree student at Kitsuregawa Laboratory Department of Information and Communication Engineering Graduate School of Information Science and Technology University of Tokyo From: Tadashi MATSUO <t...@mymail.twin.jp> Subject: Re: [twmode-users] OAuthについて Date: Thu, 03 Jun 2010 03:32:31 +0900 (JST) > 松尾です。 > >> 状況から考えて、「現実的に実現可能で、本質的に安全」な方法な今のところ >> 無いように思われます。なので、とりあえず適当に難読化した状態でconsumer >> keyとconsumer secretをtwittering-mode.elと一緒に配布して、何か問題が起 >> きたらそのとき考える、という妥協案でどうでしょう? > > そうするしかなさそうですね…。 > > --- > 松尾 直志 <t...@mymail.twin.jp> > > ------------------------------------------------------------------------------ > ThinkGeek and WIRED's GeekDad team up for the Ultimate > GeekDad Father's Day Giveaway. ONE MASSIVE PRIZE to the > lucky parental unit. See the prize list and enter to win: > http://p.sf.net/sfu/thinkgeek-promo > _______________________________________________ > twmode-users mailing list > twmode-users@lists.sourceforge.net > https://lists.sourceforge.net/lists/listinfo/twmode-users ------------------------------------------------------------------------------ ThinkGeek and WIRED's GeekDad team up for the Ultimate GeekDad Father's Day Giveaway. ONE MASSIVE PRIZE to the lucky parental unit. See the prize list and enter to win: http://p.sf.net/sfu/thinkgeek-promo _______________________________________________ twmode-users mailing list twmode-users@lists.sourceforge.net https://lists.sourceforge.net/lists/listinfo/twmode-users