fuyutiger blog

TwitterクライアントはBASIC認証からOAuth認証への切替時、「OAuth認証はDMにアクセスできるからBASIC認証より危険！」などという根も葉もない噂に翻弄された。 もちろんOAuth認証がBASIC認証より危険なんてことはまったくない。なにせBASIC認証だってDMにアクセスできる上、アプリが直接パスワードを求めるのだ。 同じアクセス権限を持たせる以上、パスワードをアプリに知らせなければならないBASIC認証よりOAuth認証のほうがずっとマシなのだ。 （さらに後日追加されたOAuth認証の権限レベルによりDMアクセスを不許可にしたり、発言を不許可にすることも可能になった） さて、某池田センセーが「Twitterのアプリ認証は偽装できるからTwitterのセキュリティホール！」(ソース)などとのたまっているのが非常に気にくわない。 正しい方法で実装されたアプリはOAuth認証によって利用者のパスワードを知ることはできない。（※1) アプリが知ることが出来るはTwitterから渡された「利用の許可」だけ。 そしてこの許可は利用者がいつでも取り消すことができる。 偽装ができる、怪しいアプリがあるなんていうのはアプリ認証の仕組みやTwitter、OAuth認証のセキリティホールではない。 ログイン画面があるならそのURLを確認する、怪しいアプリは使わないなんてのはセキュリティホールがどうこうって問題ではない。利用者側の問題だ。 ちなみに池田センセーのブログではTwitterアプリの認証をすべて取り消したといってるがパスワード漏洩対策としては全然関係ない。 なにせたとえ悪意があるアプリであっても最初にパスワードを入力されたとき以外、パスワードそのものをTwitter側から受け取ったりはできないんだから。 自分が被害にあったからといって関係ないものに責任をおっかぶせるのはやめていただきたいものだ。 ※1 OAuth認証を「アプリに内蔵されたブラウザで行う」ような方法をとればパスワードを知ることも不可能ではない。 また、認証に使うWebブラウザ自体が悪意を持っていればそこかなら情報を抜かれる可能性もある。 だがこれはOAuth認証の、そしてTwitterのセキュリティホールではない。 なおfuyutigerはOAuth認証時のパスワード入力はユーザーのシステムにインストールされたブラウザに丸投げしている。 逆立ちしたってユーザーのパスワードを知ることはできないし、知りたいとも思わない。 ※初出時お名前間違えてました。失礼しました。