クレジット:
金曜日、オランダの開発者は、TwitterのAPIに認証アクセスホールがあると考えたことを公表した。ユーザーからのダイレクト メッセージへのアクセスを要求しない Twitter の OAuth 認証プロセスを使用してアプリを作成する開発者は、いずれにしてもそれらのダイレクト メッセージにアクセスできます。
ストーリーを調査し続けると、開発者と話すこの問題については、認証やアクセスのプロセスに穴があるというよりも、アプリにアクセスを許可するときにユーザーに表示される画面が正確ではないことが明らかになりました。
Twitterは声明で次のように述べている。
私たちとしては5月に発表された, Twitter は、ユーザーがサードパーティのアプリケーションと共有する情報をより詳細に制御できるように、認証モデルを移行しています。私たちは最近、開発者が新しいモデルに合わせてアプリケーションを再構成するためのより多くの時間を与えるために、この移行を 6 月末まで延長しました。現在の権限画面のテキストを更新して、移行期間中にアプリケーションがアクセスできる情報とアクセスできない情報を明確にしています。
承認したサードパーティ アプリケーションの概要を確認したり、このリストを変更したりするには、Twitter アカウントの「アプリケーション」ページにアクセスしてください。
Twitter がアカウント アクセスに対するより詳細な変更を発表するまで、すべてのサードパーティ アプリがダイレクト メッセージにアクセスできました。これは 2011 年 6 月 30 日に変更されます。ただし、それまでは、たとえアプリ作成者が今はアクセスする必要がないと言ったとしても、すべてのアプリは DM にアクセスできます。
切断は、アプリの認証画面とアプリが持つ実際のアクセスによって行われます。約 2 週間以内に、ダイレクト メッセージにアクセスできるはずのないアプリがアクセスできなくなります。
この場合、問題はセキュリティの問題ではなく、認識の問題でした。 Twitter の新しいアプリ認証画面では、こうした認識が正確に一致することが期待されます。
ユーザーにとって、これが意味するのは、6 月 30 日までは、いつもと同じように、すべてのアプリがダイレクト メッセージにアクセスできることを期待するということです。 2011 年 6 月 30 日以降、アプリはより基本的な情報を要求できるようになりました。