twitterと悪のOAuth

3,351 views

Published on

2009年12月12日の名古屋合同勉強会LT資料。
twitterを使ったOAuth技術の悪用法を5分で紹介しようとしたが、時間が足りず打ち切られた。

Published in: Technology, Design
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,351
On SlideShare
0
From Embeds
0
Number of Embeds
141
Actions
Shares
0
Downloads
5
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

twitterと悪のOAuth

  1. 1. twitterと悪のOAuth id: tantack 名古屋Scala勉強会 名古屋アジャイル勉強会 名古屋SGGAE/J勉強会 http://twitter.com/tantack 2009.12.12 名古屋合同勉強会2009 LT用資料
  2. 2. OAuthのしくみ ユーザーさんが ○○ってアプリケーションが 権限の委譲を許可したよ あなたの情報の一部に サービス あとはアプリケーション側で 読み書きできる権限を プロバイダ 煮るなり焼くなりご自由に 求めてるけど、どうする? 認証用のURLを 認証はtwitter上でやるんだ! 発行したよ ID・パスワードを 第3者に預けなくてもいい から安全だね! ユーザーさんの情報を 安全だから許可っと。 読み書きできる権限ください ユーザー アプリケーション コンシューマ twitter クライアントetc… アプリケーションを 使わせてよ! twitterに認証用URL いいよ、ただしあなたがtwitterで 貰ったから、そこで 使っている、情報の一部に 認証してきてね 読み書きできる権限を貸してね?
  3. 3. ここで疑問 もし、ユーザーから権限の委譲を受けた アプリケーションが悪意のある ものだったらどうする?
  4. 4. twitter APIにできる悪いこと • フォロワー全員にダイレクトメール送信 • フォロワーをひたすらブロックする • フレンドを全て削除する • 悪意のあるつぶやきを延々と繰り返す
  5. 5. twitter APIにはできないこと • パスワードの書き換え=アカウントの 乗っ取り • 登録メールアドレス等個人情報の取得
  6. 6. 防衛策 twitter API には3種類の権限 権限の委譲を求めてい ・読み込みのみ るアプリケーション名 ・書き込みのみ ・読み書き可能 使おうとしているアプリケーションが どのような権限を求めているのか 本当に信用できるものか 十分確認して許可する
  7. 7. やっちゃった!あとの防衛策 対象のアプリケーションの 許可を取り消す
  8. 8. まとめ • OAuthを通すことによって、パスワード・メール アドレス等は守ることができる • ただし悪意のアプリケーションに権限を委譲 してしまうことによって、自分のアカウントが 悪用され、悪評をばらまいてしまう危険性が ある • OAuthという技術のみで、ユーザーが100% 保護されるわけではないというお話
  9. 9. ご清聴ありがとうございました!

×