それは早朝に私のTwitterフィードに現れました。大量のユーザーが同じメッセージを送信していました。「Twitterで誰があなたをストーカーしているか知りたいですか?: http://TwitViewer.net」
アリゾナ州のプロキシサービスを通じて本日ドメインが登録されたこのサイトは、あなたのTwitterページにアクセスした過去200人のユーザーをフォトギャラリーのように表示すると謳っています。このサービスの料金は? Twitterのユーザー名とパスワード以外は無料です。しかし、落とし穴は? 全く知らないサイトにTwitterの認証情報を渡してしまうということです。この点を証明するかのように、このサイトはあなたのTwitterアカウントから許可なく上記のメッセージを自動的に送信し、あなたがクリックしたランダムな写真のTwitterアカウント(あなたのアカウントを訪問したと思われる人々)を自動フォローします。
Twitter自身も現在、この「サービス」に登録したユーザーに対し、パスワードの変更を推奨しています。しかし、この詐欺行為は最初から避けられなかったわけではありません。実際、Twitter上の詐欺サイトとユーザーの間には、2つの大きな障壁があります。それは、あなたの脳とOAuthです。
Twitterをテーマにしたインターネットサービス(あるいはインターネット上のあらゆるサービス)に、メインのログイン情報を盲目的に投げ出す前に、少し背景調査をしてみる価値はあります。そのサイトは本物に見えますか?直感は、あなたが最初に思うよりもずっと正確かもしれません。そのサイトが提供しているものは、物理的に可能なのでしょうか?サードパーティのサイトが、あなたのTwitterログインとパスワードだけを使って、あなたのTwitterページをクリックした他のTwitterユーザーを追跡できるとは、私には考えられません。
OAuthは、デスクトップアプリケーションやWebアプリケーション向けの認証プロトコルで、ログイン情報を第三者から保護するように設計されています。OAuthをサポートするアプリケーションは、ユーザー名やパスワードを直接尋ねるのではなく、Twitterにリクエストを送信し、アカウントへのアクセス許可を求めます。
このリクエストに対応するためにサードパーティにログインする代わりに、通常通りTwitterの信頼できるサーバーを介してTwitterアカウントにサインインします。権限の取得のための実際のハンドシェイクはTwitterを介して行われます。アプリケーションに何らかの操作を行うためのアクセスを許可すると、Twitterはアプリ用のアクセスキーを生成します。このキーは、アクセスレベルや時間に基づいて設定できます。承認プロセスと条件はユーザーが管理でき、アプリケーションの権限を事後的に削除することも可能です。
現在、すべてのデスクトップアプリケーションやウェブアプリケーションがOAuthをサポートしているわけではありませんが、ユーザー名とパスワードを単に送信するよりも、第三者にアカウントへのアクセスを許可する方法としてははるかに安全です。どうしても後者を使わなければならない場合は、そのサイトがこれらの情報(そしてあなたのアカウント)を安全に保管してくれることを暗黙的に信頼していることを確認してください。TwitViewerの件は、Twitterでネットに精通しているユーザーにも影響を与えました。あなたには、このような事態に巻き込まれないようにしましょう!
[写真提供:Mashable]
更新 12:44 PST: TwitViewer.net がダウンしました。
