• Twitterでシェア
  • Facebookでシェア

TwitterのOAuthの問題まとめ

テクノロジー カテゴリーの変更を依頼 記事元:gist.github.com/mala
適切な情報に変更
212users がブックマーク コメント 31

    記事へのコメント31

    • 注目コメント
    • 新着コメント
    teramako
    『怪しいリンクをクリックできない世界のほうが間違っている。』うんうん

    その他
    typista
    gist:5062931

    その他
    Akaza
    Twitter / "ウェブアプリなのにconsumer secretが漏れている → 問題です " "配布アプリでconsumer key/secretが漏れている → 想定範囲内です"

    その他
    noonworks
    “「怪しいリンクをクリックするな」というのは無茶なので、そういった対策が必要なものはバグです、セキュリティホールです。怪しいリンクをクリックできない世界のほうが間違っている。”

    その他
    teckl
    ウホ

    その他
    nekoruri
    @m_mizutani 良い言葉がある。 "「怪しいリンクをクリックするな」というのは無茶なので、そういった対策が必要なものはバグです、セキュリティホールです。怪しいリンクをクリックできない世界のほうが間違っている"

    その他
    cknbstr
    リダイレクトをLocationヘッダからmetaタグに変更ってLocationとX-Frame-Optionsと同時に指定するとLocationが優先されちゃうってことか?知らないことがいっぱいや

    その他
    rennstars
    『自衛策として「怪しいリンクをクリックするな」というのは無茶なので、そういった対策が必要なものはバグです、セキュリティホールです。怪しいリンクをクリックできない世界のほうが間違っている』マジ名言。

    その他
    stealthinu
    twitterのoauth脆弱性の件まとめ。クライアントからconsumer key/secretが漏れるのは想定内なのだがsign in with twitterが有効になってる場合は問題と。

    その他
    mawatarin
    Twitter OAuth問題のまとめ。 どういう問題があったか、 どういう対策がされたか、開発者はどうすべきか。リンク先も含めて一読すべし。

    その他
    Horiuchi_H
    『怪しいリンクをクリックできない世界のほうが間違っている』

    その他
    oppara
    TwitterのOAuthの問題まとめ

    その他
    airj12
    「怪しいリンクをクリックできない世界のほうが間違っている。」

    その他
    itochan
    「怪しいリンク踏むな」とか言われても、圧縮されたURLだけで判断できるわけがない。 / 配布アプリのうんぬんは、まだよく理解できてない

    その他
    kuronama2404
    "「既存のアプリ」のためのアクセストークンを奪うものなので「身に覚えのないアプリ」は連携アプリのリストに増えません。"

    その他
    zetamatta
    mala さんによる「特定のクライアントを許可しているTwitter ユーザーの Token Credentials を入手する攻撃」についての#まとめ

    その他
    raimon49
    >consumer secretが漏れている + sign in with twitterが有効になっている → 問題です / X-Frame-Optionsはlocationからのリダイレクトを受け付けてしまうためmeta refreshに変更された。

    その他
    Show
    「怪しいリンクをクリックできない世界のほうが間違っている」

    その他
    SyncHack
    「配布アプリでconsumer key/secretが漏れている → 想定範囲内です」ですよねえ。どう実装しようか本格的に悩んじゃったよ。

    その他
    bsheep
    「暗号化とか難読化とか言ってる奴は殴れ」

    その他
    amino_acid9
    "「怪しいリンクをクリックするな」というのは無茶なので、そういった対策が必要なものはバグです、セキュリティホールです" まあそうだよね

    その他
    atsushifx
    クラッキングはアプリを解析する時代に入ったと言うことだよな。Webアプリでパスワードをそのままという話がモバイルアプリでもでてきたし、そのための教育やライブラリ、ツールが必要ということか

    その他
    Malan
    TwitterのOAuthの問題まとめ

    その他
    sato0427
    例の件のまとめ

    その他
    ui_nyan
    すてき

    その他
    sayazoh
    すっきりですね

    その他
    tatsuzawa
    「ユーザーの自衛策として「怪しいリンクをクリックするな」というのは無茶なので、そういった対策が必要なものはバグです」

    その他
    kits
    「ユーザーの自衛策として『怪しいリンクをクリックするな』というのは無茶なので、そういった対策が必要なものはバグです、セキュリティホールです」

    その他
    kmachu
    さすが信頼と実績のmalaさん。TwitterのOAuth問題について、一番分かりやすい。

    その他
    usurausura
    なんという明快さ。問題整理と指摘、かくあるべし

    その他
    BUNTEN
    リンク踏んだら「申し訳ありませんが、このフォームは日本語ではご利用いただけません。」つまりBUNTEN黙ってろってことなわけで。orz

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    TwitterのOAuthの問題まとめ

    You signed in with another tab or window. Reload to refresh your session. You signed out in anoth...

    ブックマークしたユーザー

    • snaka722017/10/26 snaka72
    • shgam2017/07/22 shgam
    • u1_fukui2017/03/07 u1_fukui
    • amadarain2016/09/15 amadarain
    • nishitki2016/02/25 nishitki
    • tasukuchan2016/02/25 tasukuchan
    • typista2015/10/29 typista
    • suzaku1142015/06/19 suzaku114
    • Akaza2015/02/13 Akaza
    • ukitaka2014/10/31 ukitaka
    • joan92014/05/17 joan9
    • noonworks2014/05/07 noonworks
    • kjw_junichi2014/02/24 kjw_junichi
    • shag2014/02/04 shag
    • teckl2014/02/04 teckl
    • gfx2014/02/04 gfx
    • enkunkun2014/01/29 enkunkun
    • nekoruri2013/11/26 nekoruri
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.