そろそろヤフーのログイン履歴騒ぎについてひとこと言っておくか
こんばんは、asannouです。
この記事を読まれた方はいるでしょうか。
http://journal.mycom.co.jp/news/2011/05/19/098/index.html
不正ログインが急増したといわれ、漏えいしている疑惑まで出てきたヤフーからの公式コメントを解説する説明のようです。
(っていうか地震情報が消えるまでスクリーンショット待てなかったんでしょうか)
これって、Facebookの友達検索ツールが原因のひとつだったみたいです。
↓
amazonaws.comからYahoo! JAPANへの不正ログイン?それって・・・ - r-weblife
結局何が問題なのか
この件で、悪いのは誰だったのでしょうか?
- Yahoo!メールから、自分の知り合いのメールアドレスを取り出そうとした、わがままなユーザー
- Yahoo!メールから、ユーザーの知り合いのメールアドレスをWeb Scrapingしようとした、強引なFacebook
- Yahoo!メールに、OAuthに準拠したAPIを用意していない、Yahoo! JAPAN
三者の言い分を想像してみます。
- 「べつに知り合いのメールアドレス=自分のデータなんだから取り出してもいいじゃん。」
- 「ユーザーから依頼を受けてID/PWを預かってアクセスしています。もちろん安全なOAuth準拠のAPIが公開されれば、対応する意思があります。」
- 「お客様の大事なデータですので、悪用される恐れがあるAPIは用意していません。」
(あくまで想像です)
Yahoo! JAPANはどうあるべきか?
今回のような騒ぎになるリスクがあるので、ログイン履歴を表示するのはやめましょう。
もしくは、わがままなお客様と、強引な方法をとるサービスによって、逆にお客様を危険にさらすので、素直にOAuthに準拠したAPIを公開しましょう。
おわり
この機会を利用してユーザーにも使いやすい/安全なサービスを目指していただきたいものです。
状況は収束しつつあるようですが、引き続きウォッチしていきましょう。
ではまた!