TwitterのOAuth脆弱性
TwitterのOAuth脆弱性 Presentation Transcript TwitterのOAuth脆弱性 2013-03-01 Xtone Ltd. ピザ会 Aki / @nekoruri なにがおきたの?( ^o^) なんか友達からURL送られてきたお なにがおきたの?( ˘⊖˘) 。o(ID/Pass入力しなきゃ安全だよな……) なにがおきたの?|URL| ┗(☋` )┓三 なにがおきたの?( ◠‿◠ )☛ アクセストークンは頂いた、抵抗は無意味だ なにがおきたの?▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわあああああああ なにがおきたの?( ^o^)なんか友達からURL送られてきたお( ˘⊖˘) 。O(ID/Pass入力しなきゃ安全だよな……)|URL| ┗(☋` )┓三( ◠‿◠ )☛アクセストークンは頂いた、抵抗は無意味だ▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわああああ
特定のクライアントを許可している Twitter ユーザーの Token Credentials を入手する攻撃 - ひだまりソケットは壊れない
怪しいクライアントを許可していないのに勝手に twitter で DM が送信されていた 何やら Twitter で勝手に DM が送られるという事案が発生していた模様。 調査の結果、ある web ページにアクセスしただけで、Twitter の token credentials が攻撃者に知られてしまう *1 ということがわかったらしい。 下記ページにまとめられていたのだけどパッと読んですぐには攻撃手法を理解できなかったので、いろいろ考えたことを書き残しておく。 「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説 - Togetter 簡潔な解説が以下の記事にあったので、簡潔な説明で理解できる人は下記記事参照。 gist:5053810 (DM踏んだだけでアレな件はTwitterのOAuth実装がク○だと思う) 【拡散希望】twitterの新型ウイルスがヤバい URL踏んだ
OAuthの認証にWebViewを使うのはやめよう
AndroidからTwitterへアクセスするためのライブラリとして,Twitter4Jが有名です. これを使ってみようと,「Android Twitter4J」と検索すると 認証にWebViewを使った例がたくさん出てきます. ・・・いや,ちょっとまて. それはちょっとまずいだろう. そういうわけでもうちょっと賢い方法を探してみました. 何がまずいのさ 「Android Twitter4J」と検索すると,上位にこんなページが出てきます. Twitter4jを使ってOAuth認証をアプリ内で行う方法 Twitter4j-2.2.xを使ったOAuth認証のコーディング例 twitter4jでツイートする Android+Twitter4JでOAuthするためのソースコード 上のサイトでは次の様は方法をとっています. アプリ内にWebViewを貼り付け WebViewでTwitterの認証画面
JavaでTwitterをOAuth認証して使えるTwitter4Jとは
JavaでTwitterをOAuth認証して使えるTwitter4Jとは:クラウドとフレームワークで超簡単ケータイ開発(2)(1/3 ページ) 数年前に比べケータイ向けサービス構築を支援するフレームワークやノウハウがたまってきて、そして無料または、格安でサービスを公開できる仕組み(クラウドやVPSなど)も普及している今こそ、ケータイ向けサービス開発を始めるチャンスではないでしょうか 携帯端末は、何気なく“つぶやく”のに最適! 前回の「Google App EngineとSlim3とMobyletで始める携帯Web入門」では、Javaのケータイ向けサービス開発を簡単にするクラウド環境とフレームワークなどを紹介し、開発環境を構築して動かしてみました。数年前に比べ、今ケータイ向けサービス構築が容易になっていることが確認できたかと思います。 携帯端末は、いつでもどこでも触れるため、つぶやくためのデ
Twitter BOT作るときOAuthのAccess token取得するのがめんどいから簡単に取得できるwebサービスつくった - 方向
Twitter BOT作るときOAuthのAccess token取得するのがめんどいから簡単に取得できるwebサービスつくりました。 http://getaccesstoken.herokuapp.com 使い方は簡単!! 1. http://twitter.com/apps から適当なアプリケーション名を登録。そのときに ここらへんをこんな感じで設定しときます。callback URLはダミーでgetaccesstoken.yayugu.net側で指定するのでなんでもいいです。 2. 作りたいBOTのアカウントでtwitter.comにログイン 3. そしたらGet Access tokenでConsumer key と Consumer Secretを入力すると…… こんなふうにAccess tokenとAcess token secretが表示されます。BOT作るのにOAuthのA
RubyなTwitterボットでOAuth認証とユーザのフォロー/リムーブ - (゚∀゚)o彡 sasata299's blog
2010年06月09日11:07 Ruby RubyなTwitterボットでOAuth認証とユーザのフォロー/リムーブ さて、表題のとおりですが、いよいよ 6月末で Twitter ボットの Basic 認証が使えなくなる という噂がまことしやかにささやかれています。 面倒くさくてずっと放置していたんですが「いい加減対応するか!」と一念発起して対応しました。で、いざやってみると意外と簡単です。放置している皆さん、頑張りましょう。 そもそもの OAuth の仕組みについてはこちらをご覧ください。 OAuthプロトコルの中身をざっくり解説してみるよ - ゆろよろ日記 で、OAuth 使うのって具体的にどうしたらいいかっていうのはこのサイトとかを見ればすぐわかると思います。最初の設定?が若干手間ですがそれさえ終わってしまえば…。 TwitterのbotをOAuthに対応させる - しばそんノート
高密度小池 / OAuth とかについて
OAuth とかについて なんかいろいろ理解してない人がいるように見えるので。 あるサービスでのリソースに対するアクセス権をデスクトップアプリケーションなり Web アプリケーションなりに移譲する時に、一番簡単な方法は ID と PW をそのまま渡してしまう方法。 twitter では従来これが用いられてきた。 twitter の情報なんて大したことないから、 ID/PW 流出しても問題ないよね、というような論調比較的よく見ます。こういうこと言うのは迷惑。死んでください。 twitter と他のサービスで ID/PW を分けている人がいったいどれくらいいるのか。多数派ということは無いと思います(根拠無い推測だけど間違ってないと思う)。 twitter で使っている ID/PW が流出すれば様々な悲劇が起きます。 一次流出もとは他のサービスですが、これによって悲劇が起きた事例と
OAuthプロトコルの中身をざっくり解説してみるよ - ( ꒪⌓꒪) ゆるよろ日記
「おーおーっすっ!」 てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です>< OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー
TwitterのBASIC認証廃止、企業ユーザーが知っておくべきこと
Twitterユーザー、あるいはこのプラットフォームを利用しているデベロッパーや企業は、2010年6月30日に向けて適切な対応を図る必要がある。Twitter APIのBASIC認証が廃止されるためだ。 意外と知られていないこととして、APIの制限のほかにユーザーごとの制限があると丹羽氏。1日当たりのツイートやフォロー、ダイレクトメッセージなどに上限があるが、ダイレクトメッセージの250件/日制限に引っかかってはじめてそれに気付く企業アカウントも少なくないという 「Twitter Development Talk(Twitter-Dev)」や「Twitter API Announcements」などではかなり前からアナウンスされていたが、2010年6月30日を最後に、Twitter APIのBASIC認証はエラーが返ってくるようになる。一見地味に映るこの出来事だが、カウントダウンサイトも用
iPhoneとTwitter OAuth認証の流れについて - いとーけーのページ
twitterヘの認証方式は2つありまして、1つはお馴染みBasic認証。もう1つがOAuthです。で、なにやら、今後はOAuthしか受け付けなくなるとかいう話があって、ちょっと盛り上がっているtwitterクライアント界隈。 OAuthの細かい話はさておき、twitterのOAuth認証(access_token取得)の手順には2通りがあります。(太字はiPhone上での主な挙動) サーバ型 アプリごとの key から request_token 取得 request_token を用いて twitter のサイトを表示 → MobileSafari起動 ユーザにログインしてもらう 設定していた callback URL が呼び出される → サーバ側で元アプリの URL scheme にリダイレクトし、元アプリを起動 callback に渡された oauth_token から acces
PHPでTwitter APIのOAuthを使う方法まとめ
この記事以降 Twitter API の仕様が変わっており、このままでは正しく機能しない場合があると思います。近いうちに今のやり方を書くので、それまで参考程度にご覧ください。 Twitter API の OAuth でひととおりやってみた。 忘れないようにメモ。 大雑把な流れ Twitter にアプリケーションを登録する。 Consumer Key と Consumer secret を取得する。 リクエストトークンを取得する。 認証用 URL を取得する。 ユーザーから承認を受ける(bot の場合は自分でやる)。 アクセストークンを取得する。 API にアクセスする。 以下、やった作業の手順です。 事前準備 HTTP_OAuth を使えるようにする OAuth の通信部分そのものは PEAR の HTTP_OAuth を使うことにしたので これをインストールする。 一番めんどくさい部分を
twitter の OAuth で思ったより豪快に認可してしまっている件 - 知らないけどきっとそう。
忘れたころに追記 API で _twitter_sess は発行されているようですが、web の UI にアクセスはできなくなったみたいです(つまり豪快さは解消されてます) OAuth コンシューマが twitter API にアクセスすると、ブラウザでログインしたときと同様のセッションクッキーが発行されている模様です GET https://twitter.com/account/verify_credentials.xml Authorization: OAuth realm="", oauth_consumer_key="***", oauth_nonce="***", oauth_signature="***", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1253358338", oauth_token="***",
twitterでOAuthを使う方法(その1:認証まで) - てっく☆ゆきろぐ
FreeBSD、MacOSX、Webアプリ系、RDBMS(PostgreSQL)などの話題が中心になるかと思います。 OAuthって結構難しいと思われてるようですが、難しいというよりは、『ややこしい』です(苦笑) そんなわけで。 手順毎に順番に説明をしようと思います。 ※2009/09/23 説明の図(手書きでごめんなさい)追加しました。 ●語句の説明 ・サービスプロバイダ(service provider)・・・サービスを提供しているところ。この場合、twitter。 ・ユーザ(user)・・・サービスプロバイダに登録していて、そのサービスを利用している人。 ・コンシューマ(consumer)・・・サービスを提供しているところに、ユーザにかわって、そのサービスに対してアクセスする第三者。サードパーティ、とでも言うべきでしょうか。要は、この記事を見て「何か作ってみたい」という、あなたです。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TwitterのOAuthの問題まとめ
Loading...