アカウント名:
パスワード:
TwitterのIDを乗っ取られたくなければ、関係のないサイトでパスワードを入力しない。脆弱性だと騒ぎ立てるなら、どの情報が取得できることが問題なのか明示すること。
それはそうだが、そういう意味では関係のないサイトのくせにTwitterのIDとパスワードを要求するのは、かなり悪質なサイトであるとは言えると思う。
「言えると思う」ではなくて、悪質です。悪質なサイトにパスワードを入力するべきではありません。
今回の事案に関しては、悪質である・悪意がある・非常識であるといった批判は適切ではありません。# 技術屋としての良心があるならOAuthで開発すべきだった、などは適切。それは、UNIQLOという大型物件かつ炎上しやすい事案であるにもかかわらず、小炎上で留まっている事にも関連があります。
今回の事案は、1. Twitterではないサービスに、TwitterのIDとパスワードを入力させているという(正しいがいまさらな)指摘2. IDとパスワードを入れるページが、httpsではないという(正しいがありがちな)指摘3. FlashからアクセスするDBに制限をかけていないスカタンな実装であるという指摘という独立な3
文化圏ねぇ。まぁおれは使わないからどうでもいいけど、
最近のOAuth SPAM事件を見るにつけリテラシー低い人たちには何を与えても無駄という気がする。
> 姑息な商人目線からいうと詐欺師目線と言いなさい。人を騙すような商売は長続きしませんとか何を言っても金儲けの欲に目がくらんだ人にはそれこそ無駄なんでしょうな。
とりあえず少し脱線してるようなのでコメントつけます。
パスワードを平分で送らなくてもいいようにOAuthというAPIができました。しかし、今度はだれ彼かまわず権限委譲してしまう人が蔓延しています。そしてSPAMが横行しています。つまり、OAuthの存在意義ってなによ?
というのがリテラシー低い云々の源泉なわけです。なんで、リテラシーかといえば”文化圏”なるご大層なものが登場したからですね。私自身は世界のセキュリティを守る正義の味方ではないので、外野がどうこういっても仕方ないし”どうせそのうち飽きるでしょ”と静観してますです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
とりあえず (スコア:0)
TwitterのIDを乗っ取られたくなければ、関係のないサイトでパスワードを入力しない。
脆弱性だと騒ぎ立てるなら、どの情報が取得できることが問題なのか明示すること。
Re: (スコア:3, すばらしい洞察)
それはそうだが、そういう意味では関係のないサイトのくせにTwitterのIDとパスワードを
要求するのは、かなり悪質なサイトであるとは言えると思う。
Re: (スコア:1, 興味深い)
「言えると思う」ではなくて、悪質です。
悪質なサイトにパスワードを入力するべきではありません。
Twitter文化圏に詳しくない人向けの良くわかる炎上解説(Re:とりあえず (スコア:5, 参考になる)
今回の事案に関しては、悪質である・悪意がある・非常識であるといった批判は適切ではありません。
# 技術屋としての良心があるならOAuthで開発すべきだった、などは適切。
それは、UNIQLOという大型物件かつ炎上しやすい事案であるにもかかわらず、小炎上で留まっている事にも関連があります。
今回の事案は、
1. Twitterではないサービスに、TwitterのIDとパスワードを入力させているという(正しいがいまさらな)指摘
2. IDとパスワードを入れるページが、httpsではないという(正しいがありがちな)指摘
3. FlashからアクセスするDBに制限をかけていないスカタンな実装であるという指摘
という独立な3
Re:Twitter文化圏に詳しくない人向けの良くわかる炎上解説(Re:とりあえず (スコア:0)
文化圏ねぇ。まぁおれは使わないからどうでもいいけど、
最近のOAuth SPAM事件を見るにつけリテラシー低い人たちには何を与えても無駄という気がする。
Re:Twitter文化圏に詳しくない人向けの良くわかる炎上解説(Re:とりあえず (スコア:3, おもしろおかしい)
(姑息な商人目線からいうと、)そんな正論では商機は生まれません。
リテラシーの低い人はターゲットとしては非常に魅力的です。
宣伝効果は非常に高く、ちょっとしたブームでも桁違いの購買を生むのです。
同等の機能性商品は他にいくらでも(しかもより低価格で)存在するのに、
宣伝やイメージ戦略で一人勝ち状態を作れるのは、ひとえにその成果です。
Re: (スコア:0)
> 姑息な商人目線からいうと
詐欺師目線と言いなさい。人を騙すような商売は長続きしませんとか何を言っても金儲けの欲に目がくらんだ人にはそれこそ無駄なんでしょうな。
Re: (スコア:0)
とりあえず少し脱線してるようなのでコメントつけます。
パスワードを平分で送らなくてもいいようにOAuthというAPIができました。
しかし、今度はだれ彼かまわず権限委譲してしまう人が蔓延しています。そしてSPAMが横行しています。
つまり、OAuthの存在意義ってなによ?
というのがリテラシー低い云々の源泉なわけです。なんで、リテラシーかといえば”文化圏”なるご大層なものが登場したからですね。私自身は世界のセキュリティを守る正義の味方ではないので、外野がどうこういっても仕方ないし”どうせそのうち飽きるでしょ”と静観してますです。