Twitter, OAuth 完全移行(Basic認証廃止)延期

11 views
Skip to first unread message

Yasushi Shinjo

unread,
Jun 20, 2010, 10:28:50 PM6/20/10
to
新城@筑波大学情報です。こんにちは。

Twitter API で Basic 認証廃止して OAuth に移行するという話が
あったみたいですが、それが8月に延期になったんですね。

Twitter APIデベロッパ・コミュニティへのお知らせ
コミュニティへのお知らせ (OAuthへの移行に関しての期限延長)
2010年6月18日金曜日
http://blog.twitter.jp/2010/06/twitter-api-oauth.html

ベーシック認証について 2010年4月30日金曜日
http://blog.twitter.jp/2010/04/blog-post_30.html

原因はワールドカップで、クジラが頻発しているからということだ
けれど。

その前に、そもそも OAuth への脆弱性対策はどうなったんだと思
いましたが、去年のうちに一応は片付いていたんですね。

情報セキュリティ技術動向調査(2009 年上期)
8 アイデンティティ管理関連技術OAuthの動向
工藤 達雄
http://www.ipa.go.jp/security/fy21/reports/tech1-tg/a_08.html

問題が出た時は、それなりのニュースで気が付いたのですが、一応
の解決策が出たというニュースは読み落としていました。いつ出た
んだろう。API がどうのというのは、開発者向けだけれどどのWeb
サイトにパスワードを打つかというのは一般向けなので、もう少し
大きなニュースにして欲しかった。

\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報       \\

Yasushi Shinjo

unread,
Jun 24, 2010, 5:29:30 AM6/24/10
to
新城@筑波大学情報です。こんにちは。

OAuth ですが、携帯電話のブラウザでうまく使えないんでしょうか。

twitter の Basic 認証廃止に対応して、xAuth という別の話が出
ています。xAuth は、もともとは手元のコンピュータでプログラム
を走らせてトークンを取ってくるという話と理解しました。でも、
携帯電話だと、そんなプログラムは走らせられない。

携帯電話で xAuth というと、結局、携帯電話に元のサイト
(twitter等)のユーザ名とパスワードを打ち込まないといけない。
そんなのは、やりたくないから OAuth という話だったのに。使う
人から見て、Basic 認証と同じです。

twitter については、xAuth にしても審査制度ということで、一定
の信頼はできるのでしょうけれど。

http://dev.twitter.com/pages/xauth

携帯電話で、OAuth というのは、どうしようもないんですか?
JavaScript とか redirect の問題? 
iPhone なら OAuth しゃべれるのかな。

Yasushi Shinjo

unread,
Jul 9, 2010, 5:09:36 AM7/9/10
to
新城@筑波大学情報です。こんにちは。

In article <3993897...@rananim.ie.u-ryukyu.ac.jp>
ko...@ie.u-ryukyu.ac.jp (Shinji KONO) writes:
> > 携帯電話で、OAuth というのは、どうしようもないんですか?
> 特に問題あるとも思えないですが。Cockie とかそんな問題ぐらい。

問題というと、携帯電話でアクセスするサイトがどのくらい信頼で
きるかどうかですね。xAuth/OAuth をうまく使うと、こんなことが
できます。

(1) 元サイトにユーザ名とパスワードを送り、トークンを得る。
あるいは、手元のPCで動かすプログラムでトークンを得る。
(2) 連携サイトに、トークンを送る。
(3) 連携サイトは、トークンを元サイトに送り、元サイトのサービ
スを利用する。

この方法でと、連携サイトにはパスワードは送らないでよいし、ま
た、トークンも有効期限が1日と何時間とか、そのくらいで切れる
ので、不正アクセスに使われたとしても被害の拡大が防げます。

でも、携帯電話の xAuth だと、こんな感じ。

(1) 連携サイト(携帯電話用)に、ユーザ名とパスワードを送る。
(2) 連携サイトが元サイトにユーザ名とパスワードを送り、トーク
ンを得る。
(3) 連携サイトは、ユーザ名とパスワードを忘れる。
(4) 連携サイトは、トークンを元サイトに送り、元サイトのサービ
スを利用する。

ここで、(3) のステップが入るはずなんだけれど、怪しい連携サイ
トだと入れてくれなくて保存してしまうかもしれません。それが問
題です。あと、連携サイトと Web ブラウザの間が HTTP (S無し)に
なるで、生パスワードが流れてしまうのも問題。

HTTPのBasic 認証だと、通信の度にユーザ名とパスワードを送らな
いとどーしようもないので、そんなもんかという話があります。
でも、せっかく OAuth なら何とかしたいというのが人情です。

Reply all
Reply to author
Forward
0 new messages