【注意】「あなたのツイッター歴は○○日でした」アプリを認証すると必要以上の動作権限を渡してしまう – NAVER まとめ
こういうの見るたびにこっちの胃が痛くなります(;ω;
私も何回か注意されたりしててそのたびに説明するのがほんとうに大変なんですが、Twitterのアプリの権限には
- 「プロフィール・ツイートの読み込みのみ」
- 「プロフィール・ツイートの読み書きOK(+DM書き込み)」
- 「プロフィール・ツイートの読み書きOK+DMの読み込み書き込みOK」
しかありません。例えば、retrorocket.biz/upicoなんかは、プロフィールのアイコン変更しかしたくないけど、権限の種類上ツイートの書き込みもOKしないといけません。
retrorocket.biz/listもまた然りです。だから「なんでプロフィールの変更だけなのにツイートの権限まで要求するんだ!怪しいじゃないか!」というご指摘を受けるわけです。
ていうかupicoとlistに関しては注意書きにおもいっきり「APIの仕様だからね!」って書いてるのに何で読まないんですかね。
でも、診断系のツールに関しては「それわざわざ自動で投稿しなきゃいけないもんじゃないだろ」って思うのが多々あるので、そういうのはみんなTweet Buttonでユーザに結果を投稿させるかさせないか選択させるべきだと思うんですね。
retrorocket.biz/favicoと/favなんかはTweet Buttonを(もしくは自作したTweet Button)を表示させています。
欠点はユーザが投稿内容をいじっちゃうかも、っていう点ですが、そんなのいじられたって困るのは本人だけで全然影響ないし、別に構わないんじゃないでしょうか。
それより自分の意志と関係なく勝手にTLに投稿される方が私は嫌です。
あと、ガチで悪意のあるツールも無きにしもあらずなので、当然ながら怪しいものは認証しないほうがいいし連携解除すべきです。
まとめ
診断系のアプリ開発者は
Tweet Button | Twitter Developers
を見てTweet Buttonを設置していただければなぁと思います。
あとTwitterさんにはAPIの権限細分化をお願いしたいところです。