雑感 |
no titleでは、favられたprotectユーザーのupdateが個人のfavoritesページで誰でも見えちゃう!!
検証してみたところ、2人のユーザーが知らないprotectユーザーのupdateを読めることを確認しました。
どうやってるのか知りませんが、[観] Twitter API 仕様書 (勝手に日本語訳シリーズ)から引っ張ると
http://twitter.com/favorites/12345.json
ユーザID 12345 の人の「お気に入り」一覧を JSON 形式で取得する
http://twitter.com/favorites/bob.xml
スクリーン名 bob の人の「お気に入り」一覧を XML 形式で取得する
とまあこれ手打ちしたら自分のアカウントとパス使ってAPIからfavがひけちゃうんですね。
で、2番目を実行するとこんな感じ、
<status> <created_at></created_at> <id></id> <text>ここに本文!</text> <source></source> <truncated></truncated> ?<user> <id></id> <name></name> <screen_name></screen_name> <location></location> <description></description> ?<profile_image_url> </profile_image_url> <url></url> <protected></protected> </user> </status>
この仕様こそどうかと思うけど、protectかどうかの情報もきちんと取得できるので、これを利用したサービスではプロテクトは表示しないとか、いろいろ対策も仕方もあると思うし、「APIなにそれおいしいの」状態の人でも簡単に見られるのは個人的にペケだと思った。
もう、もう、もうびっくりだよーということでお問い合わせしてみました。
シリウスラボ担当者さま、はじめまして etupirkaという者です。
protectユーザーの発言を誰かがfavに加えると、favoritesページから発言内容がが見えてしまう件についてご教示いただきたく、お問い合わせさせて頂きました。
内容は件名の通りですが、私自身は携帯電話というものを持っていないので直接確認したわけではないのですが、今日、protectユーザからacceptされたユーザが発言をfavすると、そのfavoritesページで関係の内第三者でも内容が覗けてしまうと知人に教えられました。
また、favoritesページは最新20件以外にも遡れるというので、protect覗きの道具として利用することも可能と思います。
これはprotectユーザの意思に反した動作だと私は考えますが、いかがでしょうか。
回答をお待ちしております。
これでまちがってないかな?だいじょうぶかな?
というか、いいかげん既出質問なのかもしれないけれど。
APIの仕様をもうちょっと書くと
では、知らないprotectの人の名前いれたところで認証が通らないんですよね。
<hash> <request>/statuses/user_timeline/12345.xml</request> ?<error> Sorry, you are not authorized to see this user's timeline. </error> </hash>
favって色々危ないんだなぁー。protectしたところでtwitterはインターネッツなんですねー。そのうち「こんな裏技があるんだぜ!」って紹介されて、APIからtumblrされることも出てくるのかも・・・。