知らないけどきっとそう。

• 記事に広告が出るようになって、ショックを受けてたら 90日以上更新のないはてなダイアリーに、広告を掲載します - はてなダイアリー日記 に該当してた
• 広告を消すために、最近作ったユーザスクリプトを載せておきます

• Flatten Fb Feeds for Greasemonkey
  • Facebook にアクセスしたときに、表示されているすべてのフィードから、ハイライトを解除してリロードします
  • 新しく表示されたフィードも、定期的にチェックされ、ハイライトが解除されます
  • 動作環境は Firefox の Greasemonkey と Chrome
  • ハイライトの情報はすべて失われるので、使用するときはご注意ください

• ハイライトに我慢できない理由
  • 時間順に並んでいないため、過去に読んだ場所までさかのぼり、そこから読み始める使い方とあわない
  • なぜそのフィードがハイライトされたか、理由がわからない
    • Facebook が、営利目的で、特定のアプリ、アクション、オブジェクトを優先的にハイライトしそうで怖い
  • 自分の友達のフィードの価値を、第三者に判断されたくない

• 私もソーシャルグラフに関わる人間の端くれとして、そこだけにフォーカスして語ってみたいと思います

• Google+ のソーシャルグラフは、サークルという概念により形成されます
• つながり方は Twitter と同じくフォロー、つまり片思いの関係
• ユーザをサークルに入れると、そのユーザをフォローしたことになります
  • フォローされると、お知らせとして通知され、フォロー返しができる
  • サークルにドラッグ＆ドロップする UI が最初楽しい

• アカウントを作成すると、デフォルトで空のサークルがいくつかありました
  • 友だち
    • 実際の友だち、安心して個人的な話ができる人たちのサークルです。
  • 家族・親戚
    • 家族や親戚などのサークルです。
  • 知人
    • 顔見知り程度の知り合いのサークルです。
  • フォロー中
    • 個人的な知り合いではないが、投稿を読みたいユーザーです。
  • ブロック
    • 交流したくないユーザー。

• Gmail の連絡先が、自動的に取り込まれて、友だち候補として表示されます
• この機能とデフォルトのサークルと UI のおかげで、自然と Gmail の連絡先を、それぞれのサークルに分類する作業がしたくなるという仕掛け
  • デフォルトのサークルによって、友だちでなくても、知り合いですらなくても、フォローしてよいことが、ユーザに伝わります
  • 結果的に、たった一日で、私のサークルのメンバーは Facebook の友だちの数を超えました

• 従来の SNS だと、Gmail の連絡先から取り出したメールアドレスに対応するアカウントが見つからない場合は、招待になるため、フォローはできません
• Google+ では、アカウントがなくても、メールアドレスだけで、予約みたいな感じで、とりあえずフォロー可能です
  • 招待という行為は、ハードルが高いので、それに代わる手段があるのは、すごくいいと思うんですよね
    • 招待するほどではないけれど、アカウントがあったらフォローしたい、というケースを救えるわけで
  • 友だちを見つけるために、定期的に、メールアドレスで検索する手間からも、解放されます
  • 相手としても、アカウントを登録した瞬間から、既に何人かにフォローされていれば、スムーズに入り込むための助けとなるでしょう
  • friendfeedの「仮想の友達」 にちょっと似てるかも
  • もちろん、誰も招待しないことには始まらないので、アカウントのないユーザを含むサークルをクリックすると、抜け目なく招待をすすめられます

• 今現在は、サークルに入れると、相手に通知されることが、体験としてわかっているため、無邪気に分類してた当初より、追加のペースは落ちています
• 「仮想の友達」のように、サークルに入れた、アカウントがないユーザから、Google が集めてきた、本人の他サービスのストリームが流れ出したら、面白いかもしれないですね

• サービスがヒットするか否かという神秘については、依然謎のままですが、これらの特徴が、その邪魔になる可能性は低いでしょう
• 私も、このようなすばらしい考えをパクってにインスパイアされて、よりよいサービスにつなげていくため、決意を新たにしたいと思います

• 最近同じパターンを何個か見たので
• まずは Facebook によるログインをサポートしてる nasdaq.com で実証

• 被害者のアカウントでログインします
  • http://community.nasdaq.com/manage-connections.aspx
    • Email Address: nasdaq.victim@yahoo.com
    • Password: hogehoge

• その状態で http://ido.nu/ayaya/nasdaq.html を踏む
  • Facebook の知らないアカウントとつながった（Firefox と Chrome のみ確認）

• とりあえずログアウト
  • http://community.nasdaq.com/common/templates/logout.aspx?turl=http%3a%2f%2fcommunity.nasdaq.com%2fmanage-connections.aspx

• 攻撃者として Facebook でログインしてみます
  • https://community-login.nasdaq.com/facebook/connect_start?ext_perm=publish_stream,email,offline_access&token_url=https%3a%2f%2fcommunity.nasdaq.com%3a443%2frpx.aspx%3fturl%3d%2fmanage-connections.aspx
    • メール: nasdaq.cracker@yahoo.com
    • パスワード: hogehoge

• 普通に入れる
  • 試した後は解除してくださいね

• 暑いので解説は後日
  • とりあえずこういうケースは state パラメータか、redirect_uri に何か付けないとダメです

• +1 Button - Google+ Platform — Google Developers

• 設定ツール からコードを取得してください
  • URL to +1 にボタンを設置する個別記事のURLを指定します
    • 省略すると document.referrer を使うのでトップページから押したときに、個別記事の +1 にならないので注意
  • 本当ははてなスターのとなりに置きたかった
  • カスタマイズとかいいから、上のと同じのを使いたい人は以下をダイアリーの本文に書けばいけます

<script src="http://www.gmodules.com/ig/ifr?url=http://ido.nu/ayaya/%2B1/gadget.xml&amp;up_count=true&amp;up_href=&amp;up_size=standard&amp;synd=open&amp;w=106&amp;h=40&amp;title=google_%2B1_button&amp;border=%23ffffff%7C3px%2C1px+solid+%23999999&amp;output=js"></script>

• ついでに Google Gadget を貼ったときにすっきりさせるスタイルシート（IE微妙）

table.gadget { margin: 0 10px !important; }
table.gadget tr:nth-child(1),
table.gadget tr:nth-child(2),
table.gadget tr:nth-child(4) { display: none; }
table.gadget a,
table.gadget span { display: none; }
table.gadget * { border: none !important; }

• 雑感
  • Google は Facebook のようなわかりやすい友人関係と、フィードが存在しないので +1 しても手ごたえがいまいち
  • 逆に自分が +1 したURLを一覧できるページがあるので、後で見返すのには便利
  • +1 が検索順位に影響を与えたりするなら？サイト所有者は置かざるを得ないですね
  • NASCAR problem

■そろそろヤフーのログイン履歴騒ぎについてひとこと言っておくか 03:28

こんばんは、asannouです。

この記事を読まれた方はいるでしょうか。

ヤフー、Yahoo! JAPAN IDの漏えい/不正アクセスの事実を否定 | ネット | マイナビニュース

不正ログインが急増したといわれ、漏えいしている疑惑まで出てきたヤフーからの公式コメントを解説する説明のようです。

(っていうか地震情報が消えるまでスクリーンショット待てなかったんでしょうか)

これって、Facebookの友達検索ツールが原因のひとつだったみたいです。

↓

amazonaws.comからYahoo! JAPANへの不正ログイン？それって・・・ - r-weblife

結局何が問題なのか

この件で、悪いのは誰だったのでしょうか？

• Yahoo!メールから、自分の知り合いのメールアドレスを取り出そうとした、わがままなユーザー
• Yahoo!メールから、ユーザーの知り合いのメールアドレスをWeb Scrapingしようとした、強引なFacebook
• Yahoo!メールに、OAuthに準拠したAPIを用意していない、Yahoo! JAPAN

三者の言い分を想像してみます。

• 「べつに知り合いのメールアドレス＝自分のデータなんだから取り出してもいいじゃん。」
• 「ユーザーから依頼を受けてID/PWを預かってアクセスしています。もちろん安全なOAuth準拠のAPIが公開されれば、対応する意思があります。」
• 「お客様の大事なデータですので、悪用される恐れがあるAPIは用意していません。」

(あくまで想像です)

ユーザーはどうあるべきか？

わがままを言わず、我慢しましょう。

もしくは、Gmailを使いましょう。

Facebookはどうあるべきか？

強引な方法をとるのはやめましょう。

そして、ユーザーにひとつずつメールアドレスをコピペしてもらいましょう。

Yahoo! JAPANはどうあるべきか？

今回のような騒ぎになるリスクがあるので、ログイン履歴を表示するのはやめましょう。

もしくは、わがままなお客様と、強引な方法をとるサービスによって、逆にお客様を危険にさらすので、素直にOAuthに準拠したAPIを公開しましょう。

おわり

この機会を利用してユーザーにも使いやすい/安全なサービスを目指していただきたいものです。

状況は収束しつつあるようですが、引き続きウォッチしていきましょう。

ではまた！