web-dev-qa-db-ja.com

Twitterに統合されていると主張する一部のアプリでユーザー/パスワードを信頼する必要がありますか?

私は、線に沿って何かを言うウェブアプリを見ました:

「Twitterアカウントを使用->ユーザー___パスワード__ "

そして、彼らはあなたを他のページに連れて行きます。

このようなフィッシング警告がすべて出た後、なぜこれらのアプリの1つを信頼する必要があるのですか?

3
OscarRyz

サイトですべきことはtwitters oAuthを使用してサインインすると、Twitterにリダイレクトされ、詳細を共有するかどうかを尋ねられます(パスワードを入力しないでください)。外部サイトは間もなくユーザー名とパスワードを使用してTwitterにユーザーをサインインできなくなるため、このような動作はすぐにドードーのようになります。

動作を確認するために、 stack of twits と呼ばれるTwitter oAuthを使用するスタックアプリapi用のサイトを構築しました。

8
johnwards

してはいけません。

個人の資格情報を使用できるようにするサイトには、webapps.stackexchange.com(または他の家族)のような OpenID 統合が必要です。

たとえ悪意がなくても、資格情報を入力するように頼むことはトラブルを招きます。

4
ob1

常にOAuthログインを優先します-これらはTwitterに直接アクセスして、サイトにログインして承認します(Facebookの接続と同様)。しかし、特にサイトがiFrameなどでOAuthページを開いている場合、パスワードが送信先のTwitterであることを完全に確認するのは難しい場合があります。

また、サイトがOAuthを使用している場合でも、それはまだ役に立たない可能性があります。

そのため、サイトを信頼するかどうかを判断する必要があります。

更新:役に立たないOAuthサイトの例: Twibbonはいくつかの悪いことをします smallprint)。

3
RickyTheGeek

Twitterには、サイトが他のサイトであなたのTwitterアカウントを使用できるようにする方法があるため(パスワードを入力せずに)、ログインの詳細を要求するサイトはほとんどの場合詐欺です。

0
Chaim Chaikin