http://anond.hatelabo.jp/20100803163235
で、信用無い個人がTwitterのOAuth認証アプリを配布するにはどうすればいいのかな？

録画ッターはもともとrubyのソースを配布してたんだけど、BASIC認証禁止されるので、Twitterアプリ登録してOAuth認証に対応した。
だけど、ソースに録画ッターのConsumer keyとConsumer secretを載せて配布するわけにはいかないから、録画結果をTwitterにつぶやく処理だけはGoogle App Engine経由でつぶやくようにした。
Consumer keyとConsumer secretはGoogle App Engineで管理してるから配布する録画ッターのソースに含める必要は無いので配布側としてはOK。

なんだけど、今なんだかんだ問題になっている件に関して、確かに録画ッターでもDMのぞいたり勝手にふぁぼったりしようと思えばできてしまうって事になる。

BASIC認証だった時は配布ソースだけですべて完結してたので、何も悪いことしてない事はソースを読めればわかるけど、OAuth認証のConsumer Keyの関係でTwitterにアクセスしている処理をGoogle App Engine上で処理するように変更したから、こっそり悪い事をしようと思えばできてしまう。

信用無い個人はどう配布すればいいのか。
というか、録画ッターはどういう設計にすればよいのか。

@kissrobber: でもこれってOAuth問題って言うよりも、Twitterの問題のような気がするけど違うんかな？ http://d.hatena.ne.jp/FukayaAruto/20100803/twitter_oauth

@kissrobber: TwitterがOAuth認証に対して、フル読み込み権限orフル読み書き権限の2つしかないから。もっと細かくDMのようなものは見せない権限とか、つぶやき投稿は許可する権限とかをOAuth認証アプリに設定できるようにしたらいいだけのような気がする。

@kissrobber: ていうか、そうしてもらわないと、OAuth認証は危険だという風潮が広まったらTwitterアプリ開発者は超困る。世間一般で信用されているような一部の有名サービス以外は実質的にOAuth認証使えないって事になる。

@kissrobber: 確かに、録画ッターでもOAuth認証してもらっているので、やろうと思えばDM読んだり、勝手にふぁぼったりできるわけだ。もちろんそんな事してないけど、信用度って意味では全く無いわけだから、こういうアプリは誰もOAuth認証してくれなくなると配布不可能になる。

@kissrobber: そもそもそうなると録画ッターみたいなアプリはどういう設計にすれば良かったのかも分からない。BASIC認証禁止されたから、アプリ登録しないといけないわけだけど、アプリのConsumer keyを配布するわけにはいかないだろうし。ならまだBASIC認証やってたほうが安全だとも思える