「個人の問題」では終わらない、Twitterアプリの危険性。

追記:
Twitterのアクセス権限が追加されたので、単純に「読み込みのみ」を許可する分にはDM取得等は出来ない模様。

Twitterのタイムラインを眺めていたら、「~~みたいなTwitter対応サービス作ってみたーー」とか稀に見る事があるので、凄く今更な気がするけど、Twitter系のサービスの危険性について書いてみようと思う。

TwitterAPIの認証が、Basic認証→OAuth認証に変わった事で、ユーザはTwitterのパスワードをサービス提供者に渡す事無く、外部で提供されている便利なTwitter関連のサービスを利用出来るようになった。

各々のサービスのWEBサイトより、上記のような画面に飛び、アプリのアクセスを「許可」する事でOAuth認証を用いたサービスの利用が可能となる。

一般的に外部サービスに「パスワード入力」するといった事は、ユーザとしてもそれなりに警戒し、「このサービスにパスワードを預けても大丈夫だろうか」といった事を考えると思うのだけど…
その辺のアダルトサイトの年齢認証と同程度のこのような画面の場合、特に考えずにポチッと「許可」してしまうユーザも多いのではないだろうか。

Twitterにおいて、アカウントへの接続を許可する という行為はTwitter上のパスワード等の認証情報を渡す事とほぼ同義であり、この接続を許可する事で、サービス提供者側は本来非公開であるはずのダイレクトメッセージなどの非公開情報にもアクセスする権限を得る事になる。
(TwitterのOAuthのアクセス権は「読み込みのみ」または「読み込み及び書き込み」しか設定出来ず、その設定はサービス提供者しか出来ない。サービス提供者の殆どが後者の「読み込み及び書き込み」を選択すると考えられるし、仮に「読み込みのみ」の設定だったとしても、サービス提供者はユーザのダイレクトメッセージなどの「本来非公開であるはずの情報」にアクセスできる。)

例えば、Twitter上での知人の「Twitter用のサービスを公開したよー。使ってみてー。」といったつぶやきに応じて、そのサービスを安易に利用する事は、その知人にダイレクトメッセージを閲覧される危険性を秘めているという事になる。
Twitter自体、(気持ち的に)軽いコミュニケーションツールなので、「DM見られても気にしないよ!」という人も多いと思うし、自分も大して困りはしないのだけど。

てか、Twitterの現時点での仕様において、OAuth認証のメリットってあくまで「パスワード」を外部のサービス側に渡する必用が無い事であって、サービス提供者側が悪意を持って何かをしようと思えばやりたい放題出来るという点はBasic認証の頃と大して変わってないのだけど・・・パスワードを伝えず「認証」出来るようになり、敷居が低くなると、ユーザの警戒心ってどうしても低下しちゃうよね。

とはいえ…。
そんなことを気にしだしたらどんなサービスもアプリも利用出来なくなるよねー。

2010年11月16日  タグ:

Leave a Reply