こんばんは!
みなさん、Quora使ってますか?
私はアカウント作っただけですが…
使ってみる!
では使ってみましょう。
まずはログインしましょう。
twitterのOAuth使ってるのは新規登録のときだけなんですね。
まずはメールアドレスを入力と。
すると、自分の画像と名前が出てきて、これならメールアドレスどれつかってたっけ…って悩むこともありません。
親切!
あとはパスワードを入れて、ログイ…
今日はここでやめておきます。
デモ終わり。
親切?気持ち悪い?
見ての通り、メールアドレスを入力したときに以下のようなPOSTのリクエストが走っています。
# リクエスト http://www.quora.com/webnode2/server_call_POST POST /webnode2/server_call_POST HTTP/1.1 Host: www.quora.com ... Accept: application/json, text/javascript, */*; q=0.01 ... Content-Type: application/x-www-form-urlencoded; charset=UTF-8 X-Requested-With: XMLHttpRequest ... json=(メアドを含んだPOSTパラメータ) # レスポンス HTTP/1.1 200 OK
これでユーザーの画像と名前を引っ張ってきているようだと。
Cookieとかは関係なさそうです。試しに友人のメアドを入れてみると、その人の画像と氏名が表示されますね。
昔、どっかのログイン画面を担当したとき
- PW間違えただときも、アカウントが存在しないときも"アカウントもしくはPWが違います"って出しとけ
- PWが違いますなんていったら、悪い人がそのIDでひたすらつっこんでくんぞ
なんて言われたことがあります。
このメアドは有効だってわかったら、不正利用されちゃう可能性も高くなるかもしれません。
PWは長くて難しくて他のとかぶらなくて忘れないようにしましょう!
そういえば、Quoraって実名でしたっけ?
世の中にはメアドのリストがガンガンやりとりされていると聞きます。
- 常に悪いこと考えている人がどこからかメアドのリストを入手
- メアドをログイン画面にしこしこ入力していくことで、Quoraを使っているかどうか、使っていたら登録されている名前を取得
これで、Quoraを装ったり、本文に氏名をつっこんでくるSpamが増えたらちょっと嫌ですね。
ではまた。
2/7 追記:
もちろん、Quoraで質問されていました。
http://www.quora.com/When-I-typed-my-mail-address-during-login-of-Quora-it-shows-my-picture-and-name-beside-*before*-login-Doesnt-it-violate-privacy?q=Does+the+e-mail+address+check+on+Quora's+login+screen+help+the+%22PW+cracking%22%3F
