Twitter便利ですよね。僕は流行に二周りくらい乗り遅れるタイプの人間なので、まだ真面目に使うようになって6ヶ月くらいです。クライアントもTwitterfic→TwitterPodときてtwittering-modeに移行しようかどうか悩み中です。
ところで、少し前までTwitterにログインしたままで悪意のあるページを踏まされるとTwitterのIDとメールアドレスが取られちゃってた、という指摘をみつけました(「ついったー足あとちょう - てっく煮ブログ」、「ついったー足あと帳」)。crossdomain.xmlの設定が甘くてswfから色々アクセスし放題だー、とかいう状態だったらしいですね。
今年3月にcrossdomain.xmlの問題は直ったらしいですけど、今でもTwitter APIで「足あと」が取れるんじゃね?とか思ったので作ってみました。
みんな知ってる内容なんだろーな、と思いつつも遊び方を紹介します。WebブラウザでTwitterにログインした状態で上記URLを踏むとTwitterのIDが表示されます。発言をprotectedにしている場合は最新の発言も表示されます。要するに、Twitter本体とAPIと共通のCookieで情報が取れること、APIがJSONPで情報を返すためにクロスドメイン制約から逃れられること、この2つの条件が重なって「足あとちょう」が実現できています。JSONPでデータを返すのが即悪いわけでは無いと思いますが、JSONPを許す場合は認証に関してもう少し何とかすべきなんじゃないかな、というのが僕の認識です。
というか、1年以上前に同じことが指摘&実現されてました。
1年も遅れて後追い記事ってのはどうなんだ自分、と思いつつも折角作ったので恥をさらしてみます。
