Gが認証APIを出そうとしている。今のところデスクトップにインストールされるアプリケーション用のAPIだけが公開されている。EメールとパスワードをPOSTで送るというそのまんまじゃん的仕様が基本で、唯一少し差を見せるのが、連続的にアクセスされている場合には、エラーとともにCAPTCHAを使って人間が使っているのかどうかを確認するという機構を備えているところ。Web APIのほうはどうなるのか(4月下旬公開予定って書いてある)ね。
まあインストールした時点でそのアプリを信頼しているのだからパスワードを教えるくらいなんでもねーだろ、って話なんだろうけど、なんかさー。インストールしたアプリケーションが「そのアプリケーションで使う」パスワードを覚えるのはなんでもないけど、インストールしたアプリケーションに、「メールでもAnalyticsでもカレンダーでもなんでもかんでも、しかもそのアプリケーションでだけではなくブラウザだけでも利用できるパスワード」を教えるのってやっぱ抵抗あるでしょ普通。ないの?あ、そ。
Googleのサービスが同じアカウントを使い回すようになっているので、認証ターゲットとなるリソースが「アカウント」であって「サービス」ではないのだと思います。特定のサービスを利用するアプリケーションのために教えたパスワードで、他のサービスにもログイン出来てしまうなら、いくらサービスを対象リソースにしても意味がないですよね。コワさで考えるとブラウザと専用アプリケーションであまり違いがないように思います(gmailにhttpでログインする方がコワいかも)。
そう、まさにそこ。というかサービスにみせかけてアカウント対象の情報を教えさせられてしまうというのが怖いというか。Webアプリのパスワードをデスクトップで再利用するのがキモい、って単純な話なのかも。