アカウント名:
パスワード:
フォローやブロックも抱き合わせで許可しなければならないTwitterの権限システムはおかしい。
読み、読み書き、読み書きDM の3種でしたっけ?大抵のアプリは つぶやくために 読み書き くらいまでは権限取るので、ザルですよね。
『書き』でも、つぶやき と それ以外(フォロー/プロフィール更新 etc...) くらいは最低分ければ、ちょっとはマシな気がするんですが。
えっ、そうだったんですか?連携の許可をしようとする時には『ツイートを見る』『プロフィールを更新する』『新しくフォローする』といった風に細かく分かれて書かれてるので、プロフィール更新やらフォローといった、アプリの性質上必要ないはずの権限まで要求するのは作者が怠惰か邪悪かのどっちかだとずっと思ってました……
読み・ツイートを見るの単独
読み書き・ツイートを見る・フォローしている人を見る、新しくフォローする・プロフィールを更新する・ツイートするの一括セット
読み書きパスワードDM・ツイートを見る・フォローしている人をを見る、新しくフォローする・プロフィールを更新する・ツイートする・ダイレクトメッセージを見る・Twitterのパスワードを見るの一括セット
この3択しかなく、「ツイートする」がないと何もできないに等しいからほとんどの連携アプリは読み書きで連携することになり、不要なfollow, unfollow, blockなどの許可もまとめてゲットすることになる。
昔は認証の画面に「以下のことが許可されます」と「許可されません」の一覧表示があって、「許可されません」の方に「パスワードの閲覧」だけが書いてありました。親コメはそれを元に書いてるのかと思いますが、DMもその他タイムラインも同じAPIでアクセスするものですし、パスワード原文を要求できるというのは聞いたこともないです。アプリに必要なのはアプリ共通のConsumer Key, Consumer Key Secret("CK/CS")と、認証して発行されるAccess Token, Access Token Secret だけです。
# 全面OAuth化される前にxAuthという選択肢があって、IDとパスワードをアプリに打ち込むとブラウザ不要でトークンを取ってきますよというものでした# xAuthではアプリが抜く可能性があるので、それとは違うということを示すためにしばらく「パスワードは渡されませんよ」ということを書いてあったのかもしれないです
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
ツイートさせようとするだけで (スコア:3, すばらしい洞察)
フォローやブロックも抱き合わせで許可しなければならないTwitterの権限システムはおかしい。
Re: (スコア:2)
読み、読み書き、読み書きDM の3種でしたっけ?
大抵のアプリは つぶやくために 読み書き くらいまでは権限取るので、ザルですよね。
『書き』でも、つぶやき と それ以外(フォロー/プロフィール更新 etc...) くらいは最低分ければ、ちょっとはマシな気がするんですが。
Re: (スコア:0)
えっ、そうだったんですか?
連携の許可をしようとする時には『ツイートを見る』『プロフィールを更新する』『新しくフォローする』といった風に細かく分かれて書かれてるので、プロフィール更新やらフォローといった、アプリの性質上必要ないはずの権限まで要求するのは作者が怠惰か邪悪かのどっちかだとずっと思ってました……
Re: (スコア:4, 参考になる)
読み
・ツイートを見る
の単独
読み書き
・ツイートを見る
・フォローしている人を見る、新しくフォローする
・プロフィールを更新する
・ツイートする
の一括セット
読み書きパスワードDM
・ツイートを見る
・フォローしている人をを見る、新しくフォローする
・プロフィールを更新する
・ツイートする
・ダイレクトメッセージを見る
・Twitterのパスワードを見る
の一括セット
この3択しかなく、「ツイートする」がないと何もできないに等しいからほとんどの連携アプリは読み書きで連携することになり、不要なfollow, unfollow, blockなどの許可もまとめてゲットすることになる。
Re:ツイートさせようとするだけで (スコア:0)
しかしTwitterほどの有名で大規模なサイトがパスワードをハッシュ化せずに保存しているとは信じたくないな、いやはや。
Re:ツイートさせようとするだけで (スコア:2)
昔は認証の画面に「以下のことが許可されます」と「許可されません」の一覧表示があって、「許可されません」の方に「パスワードの閲覧」だけが
書いてありました。親コメはそれを元に書いてるのかと思いますが、DMもその他タイムラインも同じAPIでアクセスするものですし、パスワード原文を要求
できるというのは聞いたこともないです。アプリに必要なのはアプリ共通のConsumer Key, Consumer Key Secret("CK/CS")と、認証して発行される
Access Token, Access Token Secret だけです。
# 全面OAuth化される前にxAuthという選択肢があって、IDとパスワードをアプリに打ち込むとブラウザ不要でトークンを取ってきますよというものでした
# xAuthではアプリが抜く可能性があるので、それとは違うということを示すためにしばらく「パスワードは渡されませんよ」ということを書いてあったのかもしれないです
Re: (スコア:0)