2008年4月7日

Dangerous twubble

 Twitter の友だちの友だちから、おすすめの人を紹介してくれる twubble というサービスが話題になってます。私はこのサービスは非常に危険だと感じています。決してアクセスしてはいけません。

 サイトにアクセスすると、すでに twitter にログインした状態の場合、何の同意も求められることなくブラウザから twitter のログイン情報を横取りして勝手に API にアクセスします。もしログインしていなければ、ログイン情報を入力するよう促します。

 本来のログイン画面以外でログイン情報を入力してはいけないのは鉄則です。ログイン情報を入力させようとするだけならまだしも、アクセスするだけで勝手にブラウザからログイン情報を横取りするということは、申し開きの余地のないフィッシングサイトです。

 開発者がどのような意図で開発したのかはわかりません。しかし、作り方がまずいですね。せめてログイン情報を取得することに対して同意する画面を用意すればいいのですが、何の前触れもなく勝手にログイン情報を横取りされたら警戒するなという方が無理です。

 もしすでにアクセスしてしまった人は、早急にパスワードを変更することをお薦めします。

2 件のコメント:

kaori さんのコメント...

英語だとわからないことが多いので、
気をつけます。

Hit さんのコメント...

 英語云々というよりアクセスした時点でパスワードを抜き取られますからね。たとえ作者が悪用しないといったところで、その行為自体が許されるものではありません。