Twitter の BASIC 認証廃止で、 ケータイ向けサービスはどうなる?

6月一杯 ( つまり、 あと 2ヶ月ちょっと ) で、 Twitter API を利用するときの認証方式のうち、 BASIC 認証が廃止されます。

ITmedia エンタープライズ: Twitter の BASIC 認証廃止、 企業ユーザーが知っておくべきこと
2010/04/28
西尾泰三

BASIC 認証は実装が簡単な一方で、 セキュリティ面で不安がある。 Twitter API の利用についていえば、 Twitter と連携した外部サービスを利用するために、 Twitter のユーザー名とパスワードを第三者に渡してしまうことが特に問題となる。 これはつまり、 ユーザーが Twitter で行える全権限を第三者に与えてしまっているのに等しい。 これを改善するものとして、 ユーザー名とパスワードとはひも付かないトークンベースで、 あらかじめ決められた API のアクセスのみを許可しようというのが「OAuth 認証」だ。

上の説明から、 BASIC 認証廃止後は OAuth 認証を使うのが望ましいことだと分かると思います。

xAuth は OAuth 認証の仕組みから Request Token の取得と認証を省略したもので、 Web ブラウザで認証画面を開く必要はない。 デスクトップアプリケーションとの親和性が高い認証方式といえるが、 SSL での接続が必須である点や、 利用に関して、 事前に Twitter による審査を受ける必要がある。

　丹羽氏も、「xAuth は (OAuth の) 例外的な対応というのが正しい見方」 としており、 特殊な用途に対応するための認証が xAuth であるという見解を示している。

記事には明記されていませんが、 Request Token の取得と認証を省略したということは、 xAuth では Twitter のユーザー名とパスワードを第三者 ( 利用しているサービスやアプリケーション ) に渡してしまうことになる、 ということです。 だからこそ、 米 Twitter のエンジニアである丹羽善将氏 (@niw) が 「例外的な対応」 と言うのでしょう。

ところが、 日本の携帯電話の大部分は OAuth を利用できないのです。

「Web 標準に準拠していない日本の携帯電話の特殊性は悩ましい。 例えば、 (日本の携帯電話で今なお多い) Cookie 非対応のブラウザだとセッションが維持できないので OAuth 認証がそのままでは使えない。 さらにいえば、 認証画面をレンダリングすることすらままならないので、 実質的には使えない。 もちろんこの問題は認識していて、 どこかのタイミングで対応したいが、 標準からかけ離れているので悩ましいところだ。 当面の間、 携帯電話のアプリケーションは xAuth を利用してほしい」 (丹羽氏)

xAuth を採用しているサイトには、 Twitter のユーザー名/パスワードを送信することになるので、 私は、 よほど信用しているサイト以外では御免こうむりたいと思います。 同じように考える人が多ければ、 OAuth が使えるケータイへの買い替えが進むでしょうが… はたして?

OAuth の仕掛けを利用してダマす Mobster World スパムの被害は、 いまだに収まっていません。 ( その記事へのアクセス数が、 このサイト内でずっとトップを維持し続けています。 ) OAuth でさえ悪用されてしまうというのに、 ユーザー名/パスワードを渡してしまう xAuth では…。
もしも今後、 xAuth を採用するサービスが急増したらどうなるか? 私は、 かなり心配しています。 PC 向けのサービスには、 実装を面倒がらずにぜひ OAuth で実装してもらいたいと思います。 ( OAuth が使えない携帯利用者は危険なことになりますが、 しかたありません。 BASIC 認証のままでも同じことですから。 )

ケータイ向けサービスは…
A) OAuth 対応をし、 OAuth を利用できない 「非標準」 携帯は切り捨てられる。 iPhone や Windows Mobile Phone などがバカ売れする。
B) xAuth 対応をし、 「非標準」 携帯は延命。 ただし、 ユーザー名/パスワードを第三者に渡してしまう問題は残る。 ( 問題が PC 側にまで拡散するかもしれない )

私としては A が望ましいと思うものの、 実際は大多数のサービスが B に行っちゃうんでしょうねぇ。