TwitterのOAuth認証を使ったサービスを開発する際の注意(その2) - Sacrificed & Exploited
前回のエントリで、対策が具体的でなかったのは、SHA-1などのハッシュ関数を使っても問題ないか自信が持てなかったためです。すみません。とりあえず自分で納得できる対策が調べられたと思うので書いておきます。 twitterIDをそのままSHA-1などの暗号学的ハッシュ関数にかけただけでは弱いので避けるということは知っていましたが、単なる固定文字列のsaltを付け加えるだけだと、常に同じ値が生成されるのでこれでいいのか自信が持てませんでした。 で、調べてみたら自動ログイン用のクッキーの値に必要な特性は、セッションIDの特性によくにていて、値の生成は「ユーザIDや時刻等の情報と擬似乱数とを混ぜ合わせた文字列に対してハッシュ関数を使用する」で問題なさそうだということが分かりました。 また、管理方法もに似ていて、「ログインごとに認証用のキーとなる値を新しい値に更新しなければいけない」ということも分かり
TwitterのOAuth認証を使ったサービスを開発する際の注意 - Sacrificed & Exploited
「OAuth を使ってソーシャル・ネットワーキング Web サイトにアクセスする: 第 2 回: OAuth 対応のWeb 版 Twitter クライアントを作成する」のサンプルをいじくっていて気づいたんですが、TwitterのOAuth認証を使ったサービスを開発する場合、AccessTokenの管理方法に注意が必要です。 あんまり自信がないので、誤りがあればどんどん指摘してください。 以下の条件が成り立つ場合、サービス内でなりすましができてしまいます。 サービス(Consumer)がtwitterIDとAccessTokenをひもづけて保管している。 サービスがブラウザへ渡すcookieにtwitterIDをそのまま保存している ブラウザからサービスへtwitterIDを含むCookieが渡された場合、twitterIDをキーとしてサービス内に保存しているAccessTokenを検索し、
Twitterで「なりすまし」しているアカウントを削除する方法
by Paul Snelling 個人だけでなくいろいろな企業もTwitterを利用し始め、着実にユーザー数が増えているわけですが、そうなってくると本人ではないのに本人を名乗る「なりすまし」などの問題が発生します。Twitter側では認証済みアカウントを用意するなどして本人証明する方法を提供していますが、それは単純に「ここが公式だよ」「これが本人だよ」と証明しているだけであり、Twitterを利用していない場合などにはまったく意味がありません。 そこで、勝手に自分になりすましているアカウント自体を削除するにはどうすればいいのか、実際にGIGAZINEもなりすましアカウントを作られたのでその際の対応手順をメモしておきます。同じような問題で困っている個人・団体・企業などは参考にして下さい。 詳細は以下から。 まずTwitterの規約については以下のページ内にある「コンテンツの範囲とTwitte
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
