モロ屋

アキバではたらくWebエンジニア。JavaScript / AWS / Mac

ツイッター歴を教えてくれるアプリ騒ぎの論点が違う件について

自分のタイムラインでもURLが流れてたんだけど、これちょっと違うんじゃないのと思ったからちょっと書く。

【注意】「あなたのツイッター歴は○○日でした」アプリを認証すると必要以上の動作権限を渡してしまう - NAVER まとめ

必要以上の権限を求めているのか?

「診断くん」は、TwitterでOAuth認証すると自分のTwitter歴を pic.twitter.com に画像付きでアップするWebサービスみたいですが、ここで行われている動作は

  • 自分のTwitterアカウントの作成日を取得
  • 現在日時と計算して経過時間を取得
  • アイコンとTwitter歴を画像にして pic.twitter.com にアップロード&ツイート

という処理になります。

TwitterAPIを扱ったことがある人なら知っているとおもいますが、TwitterのOAuthには権限が3種類あります。

  • Read only
    • 読み取り専用
  • Read and Write
    • 読み取りと書き込み
  • Read, Write and Access direct messages
    • 読み取りと書き込み(DMを含む)

ここで、上記の処理を行うため必要最低限なのは「Read and Write」となります。

そして「診断くん」が求めている権限は「Read and Write」です。

もし本当に必要以上に権限を求めているなら「Read, Write and Access direct messages」を求められるはずですね。

Postするのに「Read and Write」は本当に必要か?

Tweetボタンを使えば、Read onlyでツイッター歴を調べて日時をpostすることも可能かもしれません。

ですが、診断くんは画像を添えてpostされており、作者が画像付きでTweetすることがこのサービスに必要な機能と考えているならば、Read and Writeを求めるのは妥当と言えるでしょう。

また、アカウントの作成日は必ずしも本人がOAuth認証しなくても取得することができますが、Webサービスが本人のアカウント情報確認の為にOAuth認証を行う。またはAPI Limit回避のために認証を行うという可能性は十分にありますし、そこは責められる点ではないでしょう。

論点はそこじゃない

このアプリが怪しい点は権限に関する部分ではなく、機能の行使について説明が無いことです。

診断くんは自動的にツイッター歴を認証したアカウントでTweetしますが、その時にPostされるURLはOAuth認証に即座にリダイレクトされるリンクです。

認証前に機能の説明と、このアプリが何を行うかというのを説明するのは当然だとおもいますが、あくまでそれは製作者の良心です。

さらに診断くんはトップページから製作者への情報が一切ありません。これも言ってしまえば良心の問題で、これらのことから身を守るために「怪しい」と思うのは正しい判断だと思います。

しかし「必要以上の権限を求めてくるし怪しい!!」というだけで、これは「詐欺アプリだ!! みんな気をつけろ!!!」言い切る権限もユーザーには無いのではないでしょうか。

どうすればいいのか

作者側は、まずTwitterにpostするURLをサービスのトップページもしくはサービスの説明ページにすべきでしょう。いきなりOAuth認証は、確かにクリック率が上がって良いかもしれませんが強引すぎます。

さらに、いくら許可を得たからと言っても無断でタイムラインにpostを行うのもやめるべきでしょう。 あと、作者情報はTwitterアカウントだけ程度でいいので書いたほうがいいと思います。

ユーザー側は、怪しいと思ったら認証しない。

これは危険だ! といってヒーロー気分になるのは勝手ですが、確証がない時点でそういったことを言うのはやめたほうがいいのではないですかね。

また、本当かどうかわからない上に間違った知識を広めているのは、それはそれで問題だと思いますよ。

というわけで

「診断くん」のトップページのソースコードを見ると、Google Adsenseがありましたので、その識別コードで検索を書けると他のWebサービスもいくつか見つかりました。

Google Adsenseなどアフィのコードは他サイトでも流用していることが多く、ぐぐると関連サイトを見つけやすいです)

そうすると、このへんのサイトがヒットしました。

FBログ- Facebookのつぶやきを保存してくれるサービス

運営者について - FBログ

フレンドランキング

なにがし.biz - 大学生Webクリエーターmoco03が作ったWebサービスを公開中...

https://twitter.com/nanigashi03

ソース丸パクリで違ってたら申し訳ないですが、大学生クリエーターのmoco03さんはこの辺のことに気をつければ良いのではないですかね。