Googleグループで、「OpenSocial入門」の作者のよういちろうさんが指摘されていました。
さて、昨日opOpenSocialPlugin内のコードを見ていたところ、ちょっと(というか、かなり)よろしくない対応状況であることに気がつきました。結論から言うと、OpenPNE3のopOpenSocialPluginは、本番環境では無効とすべきです。
残念ながら、opOpenSocialPluginは、この暗号化機構が有効になっていません。しかも、Shindigに実装されているRestful Protocol時に行われるOAuthのチェック処理において、 匿名でのアクセスも許可された状態です。つまり、個人情報取り放題、という状態になっています。
1月28日現在、ダウンロード画面に注意書きがされています。
でも、OpenPNEの技術者さん達ならこれくらいはすぐに解決しちゃいそうですけどね。
まだリリースしたばかりで影響範囲もそんな広くないだろうし、結構楽観的に見てたりします。
