Soumettre la recherche
Mettre en ligne
twitterと悪のOAuth
•
1 j'aime
•
1,983 vues
tantack
Suivre
2009年12月12日の名古屋合同勉強会LT資料。 twitterを使ったOAuth技術の悪用法を5分で紹介しようとしたが、時間が足りず打ち切られた。
Lire moins
Lire la suite
Technologie
Design
Signaler
Partager
Signaler
Partager
1 sur 9
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
TwitterのBasic認証が今度こそ終わります
TwitterのBasic認証が今度こそ終わります
Daisuke Nikura
Google App Engine Java 入門
Google App Engine Java 入門
tantack
第1回名古屋Android勉強会Lt用資料
第1回名古屋Android勉強会Lt用資料
tantack
Google Compute EngineとPipe API
Google Compute EngineとPipe API
maruyama097
Google+APIをさわってみる。
Google+APIをさわってみる。
Hiroyuki Nozaki
Google Compute Engine 入門
Google Compute Engine 入門
Yuko Oshima
#cwt2016 Apache Kudu 構成とテーブル設計
#cwt2016 Apache Kudu 構成とテーブル設計
Cloudera Japan
Hype vs. Reality: The AI Explainer
Hype vs. Reality: The AI Explainer
Luminary Labs
Recommandé
TwitterのBasic認証が今度こそ終わります
TwitterのBasic認証が今度こそ終わります
Daisuke Nikura
Google App Engine Java 入門
Google App Engine Java 入門
tantack
第1回名古屋Android勉強会Lt用資料
第1回名古屋Android勉強会Lt用資料
tantack
Google Compute EngineとPipe API
Google Compute EngineとPipe API
maruyama097
Google+APIをさわってみる。
Google+APIをさわってみる。
Hiroyuki Nozaki
Google Compute Engine 入門
Google Compute Engine 入門
Yuko Oshima
#cwt2016 Apache Kudu 構成とテーブル設計
#cwt2016 Apache Kudu 構成とテーブル設計
Cloudera Japan
Hype vs. Reality: The AI Explainer
Hype vs. Reality: The AI Explainer
Luminary Labs
安全なTwitterクライアントへの試行錯誤
安全なTwitterクライアントへの試行錯誤
Masahiro Kawato
PFI Seminar 2012/02/24
PFI Seminar 2012/02/24
Preferred Networks
Oauthってなに?
Oauthってなに?
Tatsuaki Watanabe
「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ
junichi anno
なんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来い
Ryo Ito
Twitter
Twitter
Rei Yamamoto
1030 twitter講座.key
1030 twitter講座.key
Tokyo City University, Ueno Lab.
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
junichi anno
100121 Scis2010 Itoh
100121 Scis2010 Itoh
Hiroki Itoh
TwitterのOAuthってなんぞ?
TwitterのOAuthってなんぞ?
deflis
Whats wrong oauth_authn
Whats wrong oauth_authn
Nov Matake
Contenu connexe
Similaire à twitterと悪のOAuth
安全なTwitterクライアントへの試行錯誤
安全なTwitterクライアントへの試行錯誤
Masahiro Kawato
PFI Seminar 2012/02/24
PFI Seminar 2012/02/24
Preferred Networks
Oauthってなに?
Oauthってなに?
Tatsuaki Watanabe
「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ
junichi anno
なんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来い
Ryo Ito
Twitter
Twitter
Rei Yamamoto
1030 twitter講座.key
1030 twitter講座.key
Tokyo City University, Ueno Lab.
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
junichi anno
100121 Scis2010 Itoh
100121 Scis2010 Itoh
Hiroki Itoh
TwitterのOAuthってなんぞ?
TwitterのOAuthってなんぞ?
deflis
Whats wrong oauth_authn
Whats wrong oauth_authn
Nov Matake
Similaire à twitterと悪のOAuth
(11)
安全なTwitterクライアントへの試行錯誤
安全なTwitterクライアントへの試行錯誤
PFI Seminar 2012/02/24
PFI Seminar 2012/02/24
Oauthってなに?
Oauthってなに?
「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ
なんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来い
Twitter
Twitter
1030 twitter講座.key
1030 twitter講座.key
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
100121 Scis2010 Itoh
100121 Scis2010 Itoh
TwitterのOAuthってなんぞ?
TwitterのOAuthってなんぞ?
Whats wrong oauth_authn
Whats wrong oauth_authn
twitterと悪のOAuth
1.
twitterと悪のOAuth
id: tantack 名古屋Scala勉強会 名古屋アジャイル勉強会 名古屋SGGAE/J勉強会 http://twitter.com/tantack 2009.12.12 名古屋合同勉強会2009 LT用資料
2.
OAuthのしくみ
ユーザーさんが ○○ってアプリケーションが 権限の委譲を許可したよ あなたの情報の一部に サービス あとはアプリケーション側で 読み書きできる権限を プロバイダ 煮るなり焼くなりご自由に 求めてるけど、どうする? 認証用のURLを 認証はtwitter上でやるんだ! 発行したよ ID・パスワードを 第3者に預けなくてもいい から安全だね! ユーザーさんの情報を 安全だから許可っと。 読み書きできる権限ください ユーザー アプリケーション コンシューマ twitter クライアントetc… アプリケーションを 使わせてよ! twitterに認証用URL いいよ、ただしあなたがtwitterで 貰ったから、そこで 使っている、情報の一部に 認証してきてね 読み書きできる権限を貸してね?
3.
ここで疑問 もし、ユーザーから権限の委譲を受けた アプリケーションが悪意のある
ものだったらどうする?
4.
twitter APIにできる悪いこと •
フォロワー全員にダイレクトメール送信 • フォロワーをひたすらブロックする • フレンドを全て削除する • 悪意のあるつぶやきを延々と繰り返す
5.
twitter APIにはできないこと • パスワードの書き換え=アカウントの
乗っ取り • 登録メールアドレス等個人情報の取得
6.
防衛策
twitter API には3種類の権限 権限の委譲を求めてい ・読み込みのみ るアプリケーション名 ・書き込みのみ ・読み書き可能 使おうとしているアプリケーションが どのような権限を求めているのか 本当に信用できるものか 十分確認して許可する
7.
やっちゃった!あとの防衛策 対象のアプリケーションの 許可を取り消す
8.
まとめ • OAuthを通すことによって、パスワード・メール
アドレス等は守ることができる • ただし悪意のアプリケーションに権限を委譲 してしまうことによって、自分のアカウントが 悪用され、悪評をばらまいてしまう危険性が ある • OAuthという技術のみで、ユーザーが100% 保護されるわけではないというお話
9.
ご清聴ありがとうございました!
Télécharger maintenant