アカウント名:
パスワード:
Facebook アプリケーションが意図せずアクセス情報をサードパーティに漏洩 [symantec.com]
シマンテックでは、特定のケースで Facebook IFRAME アプリケーションから広告主や分析プラットフォームなどのサードパーティに、アクセストークンが意図せず漏洩することに気付きました。
まあ、悪いのはサードパーティソフトなんだけど、それを許す設計はマズイよね。
Facebookアプリに限らず、mixiアプリやTwitterアプリについても言えることなのですが。あの手のAPIは、悪用を防ぐ手立てがないような気がします。exeファイルやActiveXコントロール、Firefoxアドオンなどでマルウェアを作るのが避けられないのと同じで。
もちろん、それらと違って、ローカルコンピュータに直接何かすることはできず、Facebookなどのサービスで可能なことしかできませんし、サービス提供者側がすべてのアプリの存在を把握しておりAPIの利用権を自由に設定できますし、そういった意味では、exeファイルよりはずっとマシです。
けれど「アクセス権を与えてしまったのだから、その範囲内で何されるかは分からない。信用できないのなら、アクセス権を与えるべきではない」という意味では、何ら変わらないんじゃないかと。
つまり、君にいわせりゃ、いわゆるトロイの木馬は「悪用」ではないんだね。別に、そういうことにしたいのなら、勝手にそうしてくれてもいいんだけど。
あなたは「ローカルで実行する類のものの話はしてない」と言っているので トロイの木馬の例えは当てはまらないと思います
トロイの木馬の例えは、APIを使った悪用の例えだと思います。そんなに変なこと言ってないかと。
サービス提供側が認めている(想定外のセキュリティホールなどがない)API を利用して行う行為で、どんなことが「悪用」に相当するのでしょうか?
というの元のコメントで、Webサービスの話じゃなかったですし、Web サービス限定にしても、アクセスを許可したときに、正規のAPIを利用して、友人リストにspamバラまくWebのアプリはたくさんありますし(そういう例でよかったのでしょうか?)、これはトロイの木馬が正規のAPIを使っての「悪用」と同じですよね?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
一方、Facebookは個人情報ダダ漏れを許しそうな……… (スコア:2, 興味深い)
Facebook アプリケーションが意図せずアクセス情報をサードパーティに漏洩 [symantec.com]
まあ、悪いのはサードパーティソフトなんだけど、それを許す設計はマズイよね。
Re: (スコア:1)
Facebookアプリに限らず、mixiアプリやTwitterアプリについても言えることなのですが。あの手のAPIは、悪用を防ぐ手立てがないような気がします。
exeファイルやActiveXコントロール、Firefoxアドオンなどでマルウェアを作るのが避けられないのと同じで。
もちろん、それらと違って、ローカルコンピュータに直接何かすることはできず、Facebookなどのサービスで可能なことしかできませんし、
サービス提供者側がすべてのアプリの存在を把握しておりAPIの利用権を自由に設定できますし、
そういった意味では、exeファイルよりはずっとマシです。
けれど「アクセス権を与えてしまったのだから、その範囲内で何されるかは分からない。信用できないのなら、アクセス権を与えるべきではない」という意味では、何ら変わらないんじゃないかと。
1を聞いて0を知れ!
Re: (スコア:1)
を利用して行う行為で、どんなことが「悪用」に相当するのでしょうか?
Re: (スコア:1)
つまり、君にいわせりゃ、いわゆるトロイの木馬は「悪用」ではないんだね。
別に、そういうことにしたいのなら、勝手にそうしてくれてもいいんだけど。
1を聞いて0を知れ!
Re: (スコア:1)
あなたは「ローカルで実行する類のものの話はしてない」と言っているので
トロイの木馬の例えは当てはまらないと思いますし、
私も、FacebookなどのWebサービス提供側が認めている(想定外のセキュリティホールなどがない)APIを使った
「悪用」の方法や実例について質問しているのですが。
Re:一方、Facebookは個人情報ダダ漏れを許しそうな……… (スコア:1)
トロイの木馬の例えは、APIを使った悪用の例えだと思います。そんなに変なこと言ってないかと。
というの元のコメントで、Webサービスの話じゃなかったですし、Web サービス限定にしても、アクセスを許可したときに、正規のAPIを利用して、友人リストにspamバラまくWebのアプリはたくさんありますし(そういう例でよかったのでしょうか?)、これはトロイの木馬が正規のAPIを使っての「悪用」と同じですよね?
LIVE-GON(リベゴン)