Twitter連携機能についてツイートまとめ
そういえば、よく見かけるカジュアルなデマに「このアプリ使うと乗っ取られちゃう」てのがありますね。「プロフィール変えられる」「勝手にツイートされる」「パスワード盗まれる」などなど。
— 悠 (@you_at_pedal) March 13, 2020
その根拠として示されるのがここの文言。確かに「えっ勝手にやらないで!?」てのが色々書いてありますが… pic.twitter.com/BiKipn6aAM
画像内にもありますが、これについてはTwitterのヘルプセンター https://t.co/SkVWV3Ttgq に説明があるので、読んでみてほしい。特にここ(画像参照)重要。アプリにパスワードそのものを与えるわけではないし、アプリが勝手にパスワードを変えることもできません。 pic.twitter.com/nFa8733Frn
— 悠 (@you_at_pedal) March 13, 2020
ですので、この画面でアプリに権限を与えても、「乗っ取られてログインできなくなる」ということはありません。(逆に、このよく見るTwitterの連携認証画面以外で、外部アプリがTwitterパスワード入力を指示してきたら、ちょっと警戒してもいいかも)
— 悠 (@you_at_pedal) March 13, 2020
とはいえ、パスワードを知られる以外にも、1枚目に赤枠で示したようなことが勝手にされてしまうのは困りますよね。
— 悠 (@you_at_pedal) March 13, 2020
これはTwitter連携アプリ開発者の悩みどころで、必要な権限の許可をお願いすると、要らない権限まで勝手にくれちゃうのがTwitter連携機能なんです。「使うやつだけ下さい」ができない
ヘルプセンター https://t.co/SkVWV3Ttgq の「アプリの権限」の章にありますが、連携アプリが要求出来る権限セットは3パターン。「読み取り」「読み取りと書き込み」「読み取り、書き込み、ダイレクトメッセージ」です。
— 悠 (@you_at_pedal) March 13, 2020
アプリで生成した画像や文字列を自動ツイートする機能をつけたい場合、「読み取りと書き込み」の権限が必要になります。SS名刺メーカーもそうです。ツイート機能をつけるための権限をお願いすると、設定したりフォローしたりプロフィールを書き換えたりの権限まで、勝手についてきちゃうんです。
— 悠 (@you_at_pedal) March 13, 2020
これが実際の権限選択画面です。見ての通り、3種類からしか選べない。 pic.twitter.com/KfgDUyeEAq
— 悠 (@you_at_pedal) March 13, 2020
連携ツイートの機能を求めたら勝手についてきちゃうもろもろの権限を、そのアプリが実際に利用するかどうかは、アプリ開発者次第です。得た権限を利用して勝手にツイートしたりプロフィールを書き換えたりも、やろうと思えばできます。できますが、やる気がない開発者のほうが多いと思います。
— 悠 (@you_at_pedal) March 13, 2020
だってユーザーに怒られて使ってもらえなくなったら意味ないもんね。(もちろん怒られ上等で悪用してやり逃げすることもできますが)
— 悠 (@you_at_pedal) March 13, 2020
とにかく、「1枚目のような権限を求める」=「悪いアプリ」ではないというのは理解してもらえると嬉しい。悪用する気があってもなくても同じ画面です。
アプリ開発者の意図にかかわらず、悪用されるリスクを最小限にするためには、連携機能を使ってツイート等したらすぐに連携解除がおすすめです。あとは、実際のアプリの運用状況を見て、信頼できるかどうかを判断してください。新作アプリの流行にすぐ飛びつかず、少し様子を見るのもいいと思います。
— 悠 (@you_at_pedal) March 13, 2020
ともかくお願いしたいのは、1枚目の画像で示した画面を根拠として、短絡的に「悪いアプリだ!注意喚起!」と言って回るのはやめてほしいし、そういう主張を闇雲に信じないで下さいということです。実際に悪用されるかどうかは、この画面からはわかりません。
— 悠 (@you_at_pedal) March 13, 2020
よろしくお願いします。
おひねり投げてくださったら嬉しいです