TwitterのOAuth認証を使ったサービスを開発する際の注意 - Sacrificed & Exploited

「OAuth を使ってソーシャル・ネットワーキング Web サイトにアクセスする: 第 2 回: OAuth 対応のWeb 版 Twitter クライアントを作成する」のサンプルをいじくっていて気づいたんですが、TwitterのOAuth認証を使ったサービスを開発する場合、AccessTokenの管理方法に注意が必要です。 あんまり自信がないので、誤りがあればどんどん指摘してください。 以下の条件が成り立つ場合、サービス内でなりすましができてしまいます。 サービス(Consumer)がtwitterIDとAccessTokenをひもづけて保管している。 サービスがブラウザへ渡すcookieにtwitterIDをそのまま保存している ブラウザからサービスへtwitterIDを含むCookieが渡された場合、twitterIDをキーとしてサービス内に保存しているAccessTokenを検索し、

[simamikiii]

TwitterとOauth

[kmachu]

通常の認証方式でもユーザIDをセッションIDに使えば同じだけど、OAuthだとうっかりやってしまうものなんだろうか？ / 次のエントリを読んだらOAuthの話じゃなくて自動ログインの話だった。

[tsupo]

そもそも、サービス開発者・提供者側に悪意があれば、(API でできる範囲に限定されるけど)何でもできてしまう。パスワードがわからないとできないような操作だけが保護されている(ことになっているけど、……)。

[rryu]

自サービスの認証をTwitterのユーザーIDだけでやっているというのが問題。OAuthを使ったからといって自サービスの認証が簡単になったり無くなったりはしない。

[nakag0711]

コンシューマ側でセッションを乗っ取られないようにという話