綾小路龍之介の素人思考

[Twitter] オープンソースクライアントにおける Consumer Key や Consumer Secret の記述

公式クライアントの Consumer Key や Consumer Secret がわかってどうのこうのという話があって、それがソースコード及びバイナリ中にそれとわからないように難読化してこれらの情報を保存しましょうという話になって、それ意味なくない? って話になって。

オープンソースのクライアントはソースコード中でどのように Consumer Key や Consumer Secret を記述しているのか? 自分が使ったことのあるクライアントで調べてみた。実際、ソースコードに書かれているこれらの値を使い、あるアカウントに対してこの Consumer Key や Consumer Secret を持つクライアントからの操作を許可すれば (あるアカウントに紐付けられた access token と access token secret を取得できればこの時あるアカウントのアカウント名とパスワードが必要)、動いているクライアントとは別のクライアントのふりをして status の update などをすることができる。

Key と Secret の記述
クライアント名言語場所consumer keyconsumer secret記述
TweetIrcGatewayC#TwitterIrcGatewayCore/Server.csOAuthClientKeyOAuthSecretKey直書き
atig.rbRubylib/atig/oauth.rbCONSUMER_KEYCONSUMER_SECRET直書き
twircPerllib/POE/Component/Server/Twirc.pmpbafhzre_xrlpbafhzre_frpergROT13 で変数名及びリテラルをデコード
TwirssiPerltwirssi.plpbafhzre_xrlpbafhzre_frpergROT13 で変数名及びリテラルをデコード
TermtterRubylib/termtter.rbCONSUMER_KEYCONSUMER_SECRETTermtter::Crypt.decrypt (実質 BASE64) でデコード
mikutterRubycore/config.rbTWITTER_CONSUMER_KEYTWITTER_CONSUMER_SECRET直書き
TTYtterPerl2.1.00.txtoauthkeyoauthsecret直書き
TwitVimVimplugin/twitvim.vimconsumer_keyconsumer_secret直書き

dev.twitter.com では、Consumer sectret と Access token secret について "Remember this should not be shared." という注釈が付けられている。

リファレンス

  1. TwitterIrcGateway/TwitterIrcGatewayCore/Server.cs at master · mayuki/TwitterIrcGateway · GitHub
  2. atig/lib/atig/oauth.rb at master · mzp/atig · GitHub
  3. twirc/lib/POE/Component/Server/Twirc.pm at master · semifor/twirc · GitHub
  4. twirssi/twirssi.pl at master · zigdon/twirssi · GitHub
  5. termtter/lib/termtter.rb at master · termtter/termtter · GitHub
  6. mikutter/core/config.rb at master · katsyoshi/mikutter · GitHub
  7. http://www.floodgap.com/software/ttytter/dist2/2.1.00.txt
  8. Application-only authentication | Twitter Developers
  9. twitter consumer key secret - Google 検索
  10. ROT13 - Wikipedia
  11. Consumer keys of official Twitter clients
  12. Senses Blog Twitterの公式クライアントのコンシューマーキー
  13. viaをStS ProとかTwitter for iPhoneとかにする ぽわぐちょ記
  14. tsux89's Gists
  15. [Twitter,iPad] consumer key - Binrand.com
  16. もふったーのコンシューマシークレット問題について、鍵はプログラム中に安全に埋め込めるはず。だが… - kazuhoのメモ置き場
  17. デスクトップTwitterクライアントアプリでOAuthを使うことの問題点? - すぎゃーんメモ

ソーシャルブックマーク

  1. はてなブックマーク
  2. Google Bookmarks
  3. del.icio.us

ChangeLog

  1. Posted: 2010-08-27T05:31:17+09:00
  2. Modified: 2010-08-27T05:31:17+09:00
  3. Generated: 2017-06-20T23:09:22+09:00