Twitter Login にも CSRF 脆弱性ができやすい罠が!? - OAuth.jp
OAuth 2.0 では state パラメータってのがあって、それをちゃんと使わないと CSRF 脆弱性ができちゃうよって話は、@ritou 先生のスライドなどでみなさん勉強したんではないでしょうか。state パラメータは RFC 6749 では RECOMMENDED 扱いで、REQUIRED ではありませんが、OAuth 2.0 をログインに使う場合は REQUIRED にすべきでしょう。OAuth 2.0 をログインに使うの、Token 置換攻撃とか Covert Redirect + Code 置換攻撃とか、いろんな罠がありますねぇ〜。 OAuth 1.0 ならそんなことないのに… そう思ってた時期が、僕にもありました。 でも @ritou 先生よく言ってるじゃないですか。「Twitter の OAuth 実装クソや」って。でね、ほんとにクソやったんすよ、コレが。 さて、Dev
TweetDeck をハックしたら予想以上に酷かった件 - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト - uinyan. com Twitter で TweetDeck Tweetbot for iOS HootSuite iOSのデフォルトアプリ ShootingStar/Pro 等のコンシューマキーが流出して、それを利用したウィルスが猛威を振るってたようです ためしに、 Tweet Deck でコンシューマキーとコンシューマシークレットキーが抜き出せるか試してみました まず、アプリケーションを起動し
gist:5053810
gistfile1.md DM踏んだだけでアレな件はTwitterのOAuth実装がク○だと思う これの話です。 http://togetter.com/li/463503 (追記 : この考察ではiframeでTwitterの認可URL指定してもX-Frame-Options設定されてるやんけ問題が未解決と思ったらなにやら更新されてたのでもう様子見) 前提条件 あくまでこれ前提で考えてます。間違ってたらごめんなさいね。 モバイルアプリの通信盗聴や某市長の手違いみたいな感じでConsumer Key/Secretを入手したやつがいる DMのリンク先で行われているらしいこと iframeがいっぱい開かれた 有名なTwitter Clientの認可画面だ : (本家の認可URLもしくはCunsumer Key/Secretを知っててRequest Token取得できた?) 画面を開くだけで自動
Twitter の JSON に罪はない
TwitterのステータスIDが53bitを越えたお話 - tmytのらくがき http://d.hatena.ne.jp/tmyt/20101201/1291166929 から引用。 このうちXMLで処理してる場合は内部で64bit INTで処理していれば特に問題は起きません。 こういう微妙なまちがいをしてる人はこの記事書いた人だけでなく大勢いるようだけど、記事としてはまとまっていたので参照。 JSON という書式は、確かに JavaScript から派生したサブセットですので、 JSONを仕様書通りにパースするとidの値はdouble と考えてしまうのも無理はない気はします。 が、まちがいであるのも確かです。 RFC 4627 - The application/json Media Type for JavaScript Object Notation (JSON) http://t
ストリーミングAPIに対応したターミナルで動作するTwitterクライアント·earthquake MOONGIFT
earthquakeは震災を忘れないよう敢えてearthquakeと命名されたTwitterクライアント。 earthquakeはRuby製のオープンソース・ソフトウェア。震災に遭った直後、携帯電話は全く通じなくなった。使えるのは旧来の電話回線くらいだったが、それでも地域によっては回線がパンクしてしまった。そんな中活躍していたのがTwitterだった。 動作中 元々不特定多数のリクエストを処理するのに長けているインターネットでは、アクセスの急増にさえ耐えられれば震災があったとしてもきちんとメッセージが送られていた。そんな思いを思い出させるようなソフトウェアがearthquakeだ。 earthquakeは東北地方太平洋沖地震を忘れないようにネーミングされたソフトウェアだ。earthquake自身はいわゆるTwitterクライアントであるが、ストリーミングAPIに対応しているのが特徴になる。
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
Twitterの公式RT、非公式RT、QTの違いを分かりやすく図で描いてみた - 聴く耳を持たない(片方しか)
<追記 2012/03/06 ここから> 追記(2012/03/06) 2012年3月にTwitterの仕様が変更されました。 下記では「TweenのQT」と、「非公式RT」「QT」とはタイムラインでの見え方が違う……と書いてありますが、2012年3月現在ではどちらも同じようにタイムラインでは表示されています。 <追記ここまで> 先日、Twitterで公式にRetweet機能が一部のユーザー向けに公開されました。現在は言語を英語にしないと利用できませんが、今後はいずれ全ユーザーが利用できるでしょう。一方でこれまでのRetweetをQTと言い換える専用ソフト(クライアント)も出ています。 こうした動きの中で機能が複雑になり、それぞれの違いが分からない・分かりにくいといった意見をよく見かけます。……ですので、ちょっと整理も兼ねてそれぞれの機能の特徴をまとめてみました。 はじめに 以降、区別のた
“OAuth”は何と読むか
“OAuth” は何と読むのか、が話題になることがある。 たしか最初は “oath” と同じ発音だった(これが「オース」)けど 今は “Oh Auth” と発音をするのだと書かれていたのを見た気がするので “oauth pronounce” で検索してみたらまさにそれが出てきた。 "OAuth" is pronounced "Oh Auth" and has two syllables "OAuth" is pronounced "Oh Auth" and has two syllables "OAuth" の発音は "Oh Auth" で、2音節だよ。 経緯についてはこう。 OAuth was originally called "OpenAuth" but then AOL took the name, so we renamed to "OAuth". We originally p
細かすぎてあまり役に立たないような上級者向けTwitter裏技9個 - 聴く耳を持たない(片方しか)
はじめに 【PR】(PRです) 昨日のエントリー 私がTwitter小説を書くときの考え方やコツなどをまとめてみました - 聴く耳を持たない(片方しか) でも書きましたが、来る12月29日(火)冬コミで、@Orihikaさんの制作の「月刊(?)Twitter小説 Vol2」に寄稿しています。 コミックマーケット77(冬コミ) 2009/12/29〜31 ※12/29(火) 東・R・15b 南洋文芸通信社 とのことです。 ※ちなみに私は当日いません。 【PR】(PRここまで) ここから本題 以前に 14個のTwitterの細かすぎて伝わらない裏技や仕様 こういうエントリー書きました。Twitter中級者向けのまぁ、細かい裏技や仕様の説明なんですけれども、今回はさらに上級者向けに普通に使う分にはあまり役に立たないし、知らなくてもさして困らないようなどーでもいい技をまとめてみました。 全く憶えて
Twitterを100倍楽しむためのbot開発基礎講座 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Twitter公認製品プログラム | Twitter Developers
TwitterのOAuthの問題まとめ
Twitter WWDC 2010 Meetup: OAuth Echo, xAuth, trim_users, and entities