Twitter公式クライアントなどのコンシューマキーが判明したのが原因でセキュリティ的に危険な状況に陥り、さまざまな被害が発生し始め、いかにTwitter公式の姿勢が良くないかを指摘することを目的として、Windows95以降でも動作する超軽量Twitterクライアント「もふったー」作者による以下のようなエントリーが公開されました。 2013年03月11日 TweetDeck をハックしたら予想以上に酷かった件 - Windows 2000 Blog http://blog.livedoor.jp/blackwingcat/archives/1760823.html 「ためしに、 Tweet Deck でコンシューマキーとコンシューマシークレットキーが抜き出せるか試してみました」ということでいろいろ試した結果、実行ファイル自体をテキストエディタ、たとえばWindows標準の「メモ帳」でも開
App only authentication and OAuth 2.0 Bearer Token X offers applications the ability to issue authenticated requests on behalf of the application itself, as opposed to on behalf of a specific user. X’s implementation is based on the Client Credentials Grant flow of the OAuth 2 specification. Application-only authentication doesn’t include any user-context and is a form of authentication where an a
Twitter for iPhone Consumer key: IQKbtAYlXLripLGPWd0HUA Consumer secret: GgDYlkSvaPxGxC4X8liwpUoqKwwr3lCADbz8A7ADU Twitter for Android Consumer key: 3nVuSoBZnx6U4vzUxf5w Consumer secret: Bcs59EFbbsdF6Sl9Ng71smgStWEGwXXKSjYvPVt7qys Twitter for iPad Consumer key: CjulERsDeqhhjSme66ECg Consumer secret: IQWdVyqFxghAtURHGeGiWAsmCAGmdW3WmbEx6Hck Twitter for Mac Consumer key: 3rJOl1ODzm9yZy63FACdg Consum
さて、TwitterがBasic認証を廃止して1ヶ月が経とうとしています。 皆さんクライアントをOAuth対応したり、乗り換えたりしたでしょうか? 今までBasic認証で動いていた、ちょっとした捨てコード、どうなってるでしょうか? Twitterが始まった当初、gtktwitterというデスクトップGUIで動くTwitterクライアントを作りました。まぁ作りはそれ程優れた物じゃなくて、RTなんか無い頃でfriends_timelineが見れて、発言出来て、@によるリプライが出来る程度の物でした。 ただ純粋なC言語だけでGTKおよびcurlを使ったクライアントという事もあり、一部のgeekからは人気があったみたいです。 さてこのgtktwitterを今回、Basic認証が消え去った現状でも動くようにしてあげようと思い、今回改造を始めた訳です。 まず大きな壁にぶち当たりました。 Twitter
Twitterさん、OAuthのアクセス権限の細分化を! 2010-09-07 TwitterのOAuth認証を利用するサービスを作ってみたが... 一昨日の日曜日(9/5)に、クックパッドさんのオフィス提供による 『TFJ CodeCamp #2』 という1日開発合宿に行きまして、TwitterのOAuth認証を使ったサービスを初めて作ったんです。ユーザーのタイムラインを読んでいろいろやってくれるタイプのサービスを。で、実際OAuth認証するサービスを公開することを考えてみたんですが、どーにも無視できないリスクがありまして。 まず、TwitterのOAuth認証のアクセス権限レベルって、「全部のデータが読める」or「何でもできる」しかありません。今回のサービスはタイムラインさえ読めればいいのですが、OAuth認証としては全部のデータを読める要求しかできなくて、その認証をしてもらったならば
OAuth の Read と Write 先日, ツイート君に会話をまとめてもらい, 大変嫌な思いをした. Twitter の OAuth には Read 権限と Write 権限があって, Write 権限があると つぶやく 誰かをフォローする 誰かをリムーブする などのことが行えてしまう. つまり, Write 権限を要求するアプリケーションを許可することは, 「このアプリケーションが私のアカウントを使って勝手に変なことをつぶやいたり, 勝手に誰かをフォローしたり, 勝手に誰かをリムーブしても文句は言いませんよ」ということに等しい. さて, それでは OAuth の権限付与画面を見てみよう. ここでは冒頭に上げたツイート君が権限をこちらに要求してきている. では, いったい何の権限を要求してきているのだろうか. Read なのだろうか. それとも Write なのだろうか. 答えは R
「OAuth を使ってソーシャル・ネットワーキング Web サイトにアクセスする: 第 2 回: OAuth 対応のWeb 版 Twitter クライアントを作成する」のサンプルをいじくっていて気づいたんですが、TwitterのOAuth認証を使ったサービスを開発する場合、AccessTokenの管理方法に注意が必要です。 あんまり自信がないので、誤りがあればどんどん指摘してください。 以下の条件が成り立つ場合、サービス内でなりすましができてしまいます。 サービス(Consumer)がtwitterIDとAccessTokenをひもづけて保管している。 サービスがブラウザへ渡すcookieにtwitterIDをそのまま保存している ブラウザからサービスへtwitterIDを含むCookieが渡された場合、twitterIDをキーとしてサービス内に保存しているAccessTokenを検索し、
■まずOAuthって何ぞ? 読み方は「オース」 Basic認証と違い、パスワードを必要とせずにアクセス権を取得する事が出来る。 ここ見ればいいと思うよ→ゼロから学ぶOAuth ■OAuth対応すると、どんな利点があるの?しばそんさんが詳しく書かれてるので詳しくはこちらに→TwitterのbotをOAuthに対応させる プログラムはRubyですが、ほぼ共通してる事なので省略。 ■セキュリティ等々はいいから、利点教えやがれ!OAuthで認証すると、クライアント名が「API」から「自分の好きな名前*1」に変えれるのです! え?Basic認証でもクライアント名変えれるんじゃないかって?いつの話ですか全く…。*2 ■Twitter連携アプリを作る為の準備をするPHPの設定方法等々は省略。curlが使えれば大丈夫です。*3 ちなみに、XAMPPでは初期状態だとcurlに対応していないので、下
「おーおーっすっ!」 てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です>< OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー
Twitterユーザー、あるいはこのプラットフォームを利用しているデベロッパーや企業は、2010年6月30日に向けて適切な対応を図る必要がある。Twitter APIのBASIC認証が廃止されるためだ。 意外と知られていないこととして、APIの制限のほかにユーザーごとの制限があると丹羽氏。1日当たりのツイートやフォロー、ダイレクトメッセージなどに上限があるが、ダイレクトメッセージの250件/日制限に引っかかってはじめてそれに気付く企業アカウントも少なくないという 「Twitter Development Talk(Twitter-Dev)」や「Twitter API Announcements」などではかなり前からアナウンスされていたが、2010年6月30日を最後に、Twitter APIのBASIC認証はエラーが返ってくるようになる。一見地味に映るこの出来事だが、カウントダウンサイトも用
@自宅(個人の見解に基づいており,所属組織などとは一切関係ありませんし,事実かどうかもわかりません) この世界に希望をもつためには批判し続けることこそが必要だ - Edward W. Said (1935-2003) なにやら2010年6月頃に従来使われていたBASIC認証でのAPIコールができなくなるらしく,OAuthまたはxAuthへの対応が必要となっております.ぶっちゃけ,作っているのはbotなので,OAuthのような仰々しい実装(ぇ)は必要ないので,簡易的なxAuthを用いようと考えました.なお,OAuth対応を行うと60分に350回(将来的には1500回)のAPIコールができるようになるらしい.これはかなり自由度が増します.というわけで,今回はxAuthに対応する話を書いておきます.例によって,実装はPHPです. 参考にしたのはこちら.というか,そのまんまです.OAuth/xAu
先日、BlowsingNowをGoogleChromeに移植した*1のですが、そのときにTwitter OAuth認証のアプリケーション登録がInactive*2になったりしたので、そのときの経緯をまとめておきます。 アプリケーションの仕様によって原因は様々だと思いますが、参考になればと思います。 公開〜Inactiveされるまで 4月4日に開発に着手を始める。このタイミングでOAuthを登録しておいた。 5日に実用出来るレベルになったので、公開し、日付変更線を超えた頃にブログに記事を書く*3 翌日朝Twitterからメールが来る メール内からリンクされているページ達 http://help.twitter.com/forums/26257/entries/18311 http://twitter.com/apirules http://help.twitter.com/forums/10
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く