Gの認証API

| コメント(2) | トラックバック(1)

Gが認証APIを出そうとしている。今のところデスクトップにインストールされるアプリケーション用のAPIだけが公開されている。EメールとパスワードをPOSTで送るというそのまんまじゃん的仕様が基本で、唯一少し差を見せるのが、連続的にアクセスされている場合には、エラーとともにCAPTCHAを使って人間が使っているのかどうかを確認するという機構を備えているところ。Web APIのほうはどうなるのか(4月下旬公開予定って書いてある)ね。

まあインストールした時点でそのアプリを信頼しているのだからパスワードを教えるくらいなんでもねーだろ、って話なんだろうけど、なんかさー。インストールしたアプリケーションが「そのアプリケーションで使う」パスワードを覚えるのはなんでもないけど、インストールしたアプリケーションに、「メールでもAnalyticsでもカレンダーでもなんでもかんでも、しかもそのアプリケーションでだけではなくブラウザだけでも利用できるパスワード」を教えるのってやっぱ抵抗あるでしょ普通。ないの?あ、そ。

トラックバック(1)

トラックバックURL: http://www.luckypines.com/cgi-bin/mt/bt-tm.cgi/816

SW's memo / 渡辺聡事務所 - 認証API By Google (2006年4月21日 09:00)

どう落としどころが見つけられていくのか勘所の一個と言っても良い認証系の再構築。 Googleがやるのがいいのか、Googleだからいいのか、それとも、過去パスポートの騒ぎを忘れてしまっの.. 続きを読む

コメント(2)

Googleのサービスが同じアカウントを使い回すようになっているので、認証ターゲットとなるリソースが「アカウント」であって「サービス」ではないのだと思います。特定のサービスを利用するアプリケーションのために教えたパスワードで、他のサービスにもログイン出来てしまうなら、いくらサービスを対象リソースにしても意味がないですよね。コワさで考えるとブラウザと専用アプリケーションであまり違いがないように思います(gmailにhttpでログインする方がコワいかも)。

そう、まさにそこ。というかサービスにみせかけてアカウント対象の情報を教えさせられてしまうというのが怖いというか。Webアプリのパスワードをデスクトップで再利用するのがキモい、って単純な話なのかも。

コメントする

このブログ記事について

このページは、Fumiaki Yoshimatsuが2006年4月21日 07:46に書いたブログ記事です。

ひとつ前のブログ記事は「We rock, better than G does」です。

次のブログ記事は「sixaphone - way too much fun really」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。