Your SlideShare is downloading. ×
0
twitterと悪のOAuth
twitterと悪のOAuth
twitterと悪のOAuth
twitterと悪のOAuth
twitterと悪のOAuth
twitterと悪のOAuth
twitterと悪のOAuth
twitterと悪のOAuth
twitterと悪のOAuth
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

twitterと悪のOAuth

2,836

Published on

2009年12月12日の名古屋合同勉強会LT資料。 …

2009年12月12日の名古屋合同勉強会LT資料。
twitterを使ったOAuth技術の悪用法を5分で紹介しようとしたが、時間が足りず打ち切られた。

Published in: Technology, Design
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,836
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
4
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. twitterと悪のOAuth id: tantack 名古屋Scala勉強会 名古屋アジャイル勉強会 名古屋SGGAE/J勉強会 http://twitter.com/tantack 2009.12.12 名古屋合同勉強会2009 LT用資料
  • 2. OAuthのしくみ ユーザーさんが ○○ってアプリケーションが 権限の委譲を許可したよ あなたの情報の一部に サービス あとはアプリケーション側で 読み書きできる権限を プロバイダ 煮るなり焼くなりご自由に 求めてるけど、どうする? 認証用のURLを 認証はtwitter上でやるんだ! 発行したよ ID・パスワードを 第3者に預けなくてもいい から安全だね! ユーザーさんの情報を 安全だから許可っと。 読み書きできる権限ください ユーザー アプリケーション コンシューマ twitter クライアントetc… アプリケーションを 使わせてよ! twitterに認証用URL いいよ、ただしあなたがtwitterで 貰ったから、そこで 使っている、情報の一部に 認証してきてね 読み書きできる権限を貸してね?
  • 3. ここで疑問 もし、ユーザーから権限の委譲を受けた アプリケーションが悪意のある ものだったらどうする?
  • 4. twitter APIにできる悪いこと • フォロワー全員にダイレクトメール送信 • フォロワーをひたすらブロックする • フレンドを全て削除する • 悪意のあるつぶやきを延々と繰り返す
  • 5. twitter APIにはできないこと • パスワードの書き換え=アカウントの 乗っ取り • 登録メールアドレス等個人情報の取得
  • 6. 防衛策 twitter API には3種類の権限 権限の委譲を求めてい ・読み込みのみ るアプリケーション名 ・書き込みのみ ・読み書き可能 使おうとしているアプリケーションが どのような権限を求めているのか 本当に信用できるものか 十分確認して許可する
  • 7. やっちゃった!あとの防衛策 対象のアプリケーションの 許可を取り消す
  • 8. まとめ • OAuthを通すことによって、パスワード・メール アドレス等は守ることができる • ただし悪意のアプリケーションに権限を委譲 してしまうことによって、自分のアカウントが 悪用され、悪評をばらまいてしまう危険性が ある • OAuthという技術のみで、ユーザーが100% 保護されるわけではないというお話
  • 9. ご清聴ありがとうございました!

×