SlideShare une entreprise Scribd logo

twitterと悪のOAuth

tantack
tantack

2009年12月12日の名古屋合同勉強会LT資料。 twitterを使ったOAuth技術の悪用法を5分で紹介しようとしたが、時間が足りず打ち切られた。

TechnologieDesign
1  sur  9
Télécharger pour lire hors ligne
twitterと悪のOAuth id: tantack 名古屋Scala勉強会 名古屋アジャイル勉強会 名古屋SGGAE/J勉強会 http://twitter.com/tantack 2009.12.12 名古屋合同勉強会2009 LT用資料
OAuthのしくみ ユーザーさんが ○○ってアプリケーションが 権限の委譲を許可したよ あなたの情報の一部に サービス あとはアプリケーション側で 読み書きできる権限を プロバイダ 煮るなり焼くなりご自由に 求めてるけど、どうする? 認証用のURLを 認証はtwitter上でやるんだ! 発行したよ ID・パスワードを 第3者に預けなくてもいい から安全だね! ユーザーさんの情報を 安全だから許可っと。 読み書きできる権限ください ユーザー アプリケーション コンシューマ twitter クライアントetc… アプリケーションを 使わせてよ! twitterに認証用URL いいよ、ただしあなたがtwitterで 貰ったから、そこで 使っている、情報の一部に 認証してきてね 読み書きできる権限を貸してね?
ここで疑問 もし、ユーザーから権限の委譲を受けた アプリケーションが悪意のある ものだったらどうする?
twitter APIにできる悪いこと • フォロワー全員にダイレクトメール送信 • フォロワーをひたすらブロックする • フレンドを全て削除する • 悪意のあるつぶやきを延々と繰り返す
twitter APIにはできないこと • パスワードの書き換え=アカウントの 乗っ取り • 登録メールアドレス等個人情報の取得
防衛策 twitter API には3種類の権限 権限の委譲を求めてい ・読み込みのみ るアプリケーション名 ・書き込みのみ ・読み書き可能 使おうとしているアプリケーションが どのような権限を求めているのか 本当に信用できるものか 十分確認して許可する
やっちゃった!あとの防衛策 対象のアプリケーションの 許可を取り消す
まとめ • OAuthを通すことによって、パスワード・メール アドレス等は守ることができる • ただし悪意のアプリケーションに権限を委譲 してしまうことによって、自分のアカウントが 悪用され、悪評をばらまいてしまう危険性が ある • OAuthという技術のみで、ユーザーが100% 保護されるわけではないというお話
ご清聴ありがとうございました!

Recommandé

TwitterのBasic認証が今度こそ終わります
TwitterのBasic認証が今度こそ終わりますTwitterのBasic認証が今度こそ終わります
TwitterのBasic認証が今度こそ終わりますDaisuke Nikura
 
Google App Engine Java 入門
Google App Engine Java 入門Google App Engine Java 入門
Google App Engine Java 入門tantack
 
第1回名古屋Android勉強会Lt用資料
第1回名古屋Android勉強会Lt用資料第1回名古屋Android勉強会Lt用資料
第1回名古屋Android勉強会Lt用資料tantack
 
Google Compute EngineとPipe API
Google Compute EngineとPipe APIGoogle Compute EngineとPipe API
Google Compute EngineとPipe APImaruyama097
 
Google+APIをさわってみる。
Google+APIをさわってみる。Google+APIをさわってみる。
Google+APIをさわってみる。Hiroyuki Nozaki
 
Google Compute Engine 入門
Google Compute Engine 入門Google Compute Engine 入門
Google Compute Engine 入門Yuko Oshima
 
#cwt2016 Apache Kudu 構成とテーブル設計
#cwt2016 Apache Kudu 構成とテーブル設計#cwt2016 Apache Kudu 構成とテーブル設計
#cwt2016 Apache Kudu 構成とテーブル設計Cloudera Japan
 
Hype vs. Reality: The AI Explainer
Hype vs. Reality: The AI ExplainerHype vs. Reality: The AI Explainer
Hype vs. Reality: The AI ExplainerLuminary Labs
 

Recommandé

TwitterのBasic認証が今度こそ終わります
TwitterのBasic認証が今度こそ終わりますTwitterのBasic認証が今度こそ終わります
TwitterのBasic認証が今度こそ終わりますDaisuke Nikura
 
Google App Engine Java 入門
Google App Engine Java 入門Google App Engine Java 入門
Google App Engine Java 入門tantack
 
第1回名古屋Android勉強会Lt用資料
第1回名古屋Android勉強会Lt用資料第1回名古屋Android勉強会Lt用資料
第1回名古屋Android勉強会Lt用資料tantack
 
Google Compute EngineとPipe API
Google Compute EngineとPipe APIGoogle Compute EngineとPipe API
Google Compute EngineとPipe APImaruyama097
 
Google+APIをさわってみる。
Google+APIをさわってみる。Google+APIをさわってみる。
Google+APIをさわってみる。Hiroyuki Nozaki
 
Google Compute Engine 入門
Google Compute Engine 入門Google Compute Engine 入門
Google Compute Engine 入門Yuko Oshima
 
#cwt2016 Apache Kudu 構成とテーブル設計
#cwt2016 Apache Kudu 構成とテーブル設計#cwt2016 Apache Kudu 構成とテーブル設計
#cwt2016 Apache Kudu 構成とテーブル設計Cloudera Japan
 
Hype vs. Reality: The AI Explainer
Hype vs. Reality: The AI ExplainerHype vs. Reality: The AI Explainer
Hype vs. Reality: The AI ExplainerLuminary Labs
 
安全なTwitterクライアントへの試行錯誤
安全なTwitterクライアントへの試行錯誤安全なTwitterクライアントへの試行錯誤
安全なTwitterクライアントへの試行錯誤Masahiro Kawato
 
PFI Seminar 2012/02/24
PFI Seminar 2012/02/24PFI Seminar 2012/02/24
PFI Seminar 2012/02/24Preferred Networks
 
Oauthってなに?
Oauthってなに?Oauthってなに?
Oauthってなに?Tatsuaki Watanabe
 
「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめjunichi anno
 
なんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来いなんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来いRyo Ito
 
Twitter
TwitterTwitter
TwitterRei Yamamoto
 
1030 twitter講座.key
1030 twitter講座.key1030 twitter講座.key
1030 twitter講座.keyTokyo City University, Ueno Lab.
 
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phonejunichi anno
 
100121 Scis2010 Itoh
100121 Scis2010 Itoh100121 Scis2010 Itoh
100121 Scis2010 ItohHiroki Itoh
 
TwitterのOAuthってなんぞ?
TwitterのOAuthってなんぞ?TwitterのOAuthってなんぞ?
TwitterのOAuthってなんぞ?deflis
 
Whats wrong oauth_authn
Whats wrong oauth_authnWhats wrong oauth_authn
Whats wrong oauth_authnNov Matake
 

Contenu connexe

Similaire à twitterと悪のOAuth

安全なTwitterクライアントへの試行錯誤
安全なTwitterクライアントへの試行錯誤安全なTwitterクライアントへの試行錯誤
安全なTwitterクライアントへの試行錯誤Masahiro Kawato
 
「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめjunichi anno
 
なんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来いなんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来いRyo Ito
 
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phonejunichi anno
 
100121 Scis2010 Itoh
100121 Scis2010 Itoh100121 Scis2010 Itoh
100121 Scis2010 ItohHiroki Itoh
 
TwitterのOAuthってなんぞ?
TwitterのOAuthってなんぞ?TwitterのOAuthってなんぞ?
TwitterのOAuthってなんぞ?deflis
 
Whats wrong oauth_authn
Whats wrong oauth_authnWhats wrong oauth_authn
Whats wrong oauth_authnNov Matake
 

Similaire à twitterと悪のOAuth (11)

安全なTwitterクライアントへの試行錯誤
安全なTwitterクライアントへの試行錯誤安全なTwitterクライアントへの試行錯誤
安全なTwitterクライアントへの試行錯誤
 
PFI Seminar 2012/02/24
PFI Seminar 2012/02/24PFI Seminar 2012/02/24
PFI Seminar 2012/02/24
 
Oauthってなに?
Oauthってなに?Oauthってなに?
Oauthってなに?
 
「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ
 
なんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来いなんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来い
 
Twitter
TwitterTwitter
Twitter
 
1030 twitter講座.key
1030 twitter講座.key1030 twitter講座.key
1030 twitter講座.key
 
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
 
100121 Scis2010 Itoh
100121 Scis2010 Itoh100121 Scis2010 Itoh
100121 Scis2010 Itoh
 
TwitterのOAuthってなんぞ?
TwitterのOAuthってなんぞ?TwitterのOAuthってなんぞ?
TwitterのOAuthってなんぞ?
 
Whats wrong oauth_authn
Whats wrong oauth_authnWhats wrong oauth_authn
Whats wrong oauth_authn
 

twitterと悪のOAuth

  • 1. twitterと悪のOAuth id: tantack 名古屋Scala勉強会 名古屋アジャイル勉強会 名古屋SGGAE/J勉強会 http://twitter.com/tantack 2009.12.12 名古屋合同勉強会2009 LT用資料
  • 2. OAuthのしくみ ユーザーさんが ○○ってアプリケーションが 権限の委譲を許可したよ あなたの情報の一部に サービス あとはアプリケーション側で 読み書きできる権限を プロバイダ 煮るなり焼くなりご自由に 求めてるけど、どうする? 認証用のURLを 認証はtwitter上でやるんだ! 発行したよ ID・パスワードを 第3者に預けなくてもいい から安全だね! ユーザーさんの情報を 安全だから許可っと。 読み書きできる権限ください ユーザー アプリケーション コンシューマ twitter クライアントetc… アプリケーションを 使わせてよ! twitterに認証用URL いいよ、ただしあなたがtwitterで 貰ったから、そこで 使っている、情報の一部に 認証してきてね 読み書きできる権限を貸してね?
  • 4. twitter APIにできる悪いこと • フォロワー全員にダイレクトメール送信 • フォロワーをひたすらブロックする • フレンドを全て削除する • 悪意のあるつぶやきを延々と繰り返す
  • 5. twitter APIにはできないこと • パスワードの書き換え=アカウントの 乗っ取り • 登録メールアドレス等個人情報の取得
  • 6. 防衛策 twitter API には3種類の権限 権限の委譲を求めてい ・読み込みのみ るアプリケーション名 ・書き込みのみ ・読み書き可能 使おうとしているアプリケーションが どのような権限を求めているのか 本当に信用できるものか 十分確認して許可する
  • 8. まとめ • OAuthを通すことによって、パスワード・メール アドレス等は守ることができる • ただし悪意のアプリケーションに権限を委譲 してしまうことによって、自分のアカウントが 悪用され、悪評をばらまいてしまう危険性が ある • OAuthという技術のみで、ユーザーが100% 保護されるわけではないというお話