とは言っても、自分で知ってることなどそんなに多いわけではないのでほぼほぼ引用なのですが…
■ことの発端は「なる4」
「なるほど4時じゃねーの」というOAuth認証を使用して4時になると「なるほど4時じゃねーの」とtwitterで呟く、というシステムがあったわけですね。
「4時」ってのも特に意味はなくどこかから始まったネタなんだろうけど、なんとなく登録していたわけです。
で、しばらくは平穏に「なるほど4時じゃねーの」と自動的につぶやいていたわけですが…
作者の小池氏(@ssig33)がある日OAuth認証の権限を利用してfavを大量登録(こちらからは「お気に入り」登録する意図はないのにOAuthの権限を使って特定のコメントを「お気に入り」する)。
そこから「OAuthこええ!」となったわけです。
参照:「なる四時」と「なる四時」のユーザが何をやらかしたかのまとめ
■OAuth認証に関して
読み方は「オース認証」とか「オーオース認証」。
OAuth -笑ってダマされタメになる!きたみとまなめのIT用語集
* ユーザーはIDとパスワードをコンシューマに預けなくてよい。これにより、ユーザーはサービスプロバイダのパスワードを変更しても、パスワードを登録しているすべてのコンシューマに対して変更しなくて済む
* ユーザーは、参照や更新といったコンシューマに与える権限を、ユーザーが信用しているサービスプロバイダの画面で確認できる
* あるサービスプロバイダへ複数のコンシューマが接続している場合、それらコンシューマのアクセス管理(ルールの変更、削除など)をサービスプロバイダ上で一元管理することができる
* コンシューマの開発者はユーザーのIDとパスワードを管理する手間から解放される
これを読んでいる感じだと権限だけ渡す、みたいな感じなのな。
当初ID/PASSが駄々漏れなんじゃないかとちょっと思っていたんだがそういうわけでもなくて、動作を共有できる、とかの方が近いのかも。
例えばDMを見るとかもそうだし、リプライを送るとか、ツイートする、とか。
■他のアプリケーションも同様…
小池氏(@ssig33)いわく
何度も言っていることですが、 DM を読まれるとかそういう件については、 OAuth で twitter と連携する Web アプリケーションは一律「信用できない」ということになります。 mixi ボイスの twitter 連携だとか HootSuite とかでも、それはそうです。一律ゼロ。
とのこと。
今回たまたま「なる4」のことが話題に上がったけど他のアプリでも同様のケースが想定できるということ。
何と言いますか、今後「やらかしてしまう」企業が出てくる可能性も大いにありますね~。