TwitterのOAuth認証に気をつけてね


Twitterさん、OAuthのアクセス権限の細分化を! : akiyan.com

TwitterOAuth認証のアクセス権限レベルって、「全部のデータが読める」or「何でもできる」しかありません。今回のサービスはタイムラインさえ読めればいいのですが、OAuth認証としては全部のデータを読める要求しかできなくて、その認証をしてもらったならば、DM(Direct Message)も読み出し放題になっちゃうんですね。実際のDMの読み出しはとても簡単で、APIを1発ポンと呼び出すだけです。


ぎょえー。話には聞いていたけど、実際に開発者の方の体験を聞くと今更ながら怖~って思います。


自分の Twitter の設定がどうなっているかは、このページで確認できると思います。私は認証許可ってしたことがないので、Twitter クライアントしか表示されなかったけど。

Twitter / 連携アプリ