iKnow!の学習結果をTwitterでツイートするTwiKnow!というサービスをテスト公開していますが、他人のTwitterタイムラインにツイートするにあたり、OAuthという技術を使っています(OAuthについて詳しくは説明しません)。
で、TwitterでOAuthを使う際に思ったのですが、出来ることが多すぎるのがちょっと嫌な感じです。以下はTwitterのアプリ認証の画面ですが、「次の動作が許可されます」とあるリスト内に「新しくフォローする」とか「プロフィールを更新する」とか、穏やかでない内容が並んでいます。Twiknow!は「ツイートする」の機能しか使わないんですけどね。なんだか痛くもない腹を探られる感じです。
見てのとおり、アプリ認証画面の右側には開発者によるアプリの説明文も表示されるので、ここに「このアプリではツイートすることしかしません」みたいなことを記載するという手もありますが、それはそれで筋が悪い感じがします。OAuthの認可において、ユーザーが信用していいのはあくまでTwitter側が出す説明文のみであるべきで、開発者側の出す説明文を信用して認証するような風潮が蔓延すると、裏でこっそりとプロフィール更新やら新規フォローなどをしでかすアプリを安易に認証してしまうことにつながりかねません。
この件についての正しい解決法は、Twitter側がOAuthで可能な操作を細分化して、アプリ側では必要最小限の権限だけを取得するようにする、ということになるのでしょうか。聞くところによると、以前のTwitter OAuthでは、単にツイートするだけのアプリでも、ダイレクトメッセージへのアクセスができてしまう権限までついていたようなので、今の状態でもある程度は改善していると言えるみたいですが……。
0 件のコメント:
コメントを投稿