もふったーをハックしたら予想以上に酷かった件
TweetDeck をハックしたら予想以上に酷かった件 - Windows 2000 Blog
もふったーの作者が、TweetDeckがConsumer keyとConsumer secretを平文で持っていることを批判していたので、もふったーはどうなっているのか調べてみた。
- もふったーをインストールする
- Immunity Debuggerをインストールする
- Immunity Debuggerでもふったーを開き、下の画面のようになるまで、F9を押して実行する
- CPUウィンドウの左上の欄で右クリック → Search for → All referenced text strings
- 出てきた画面で右クリック → Search for text → 「consumer_key」で検索
- oauth_consumer_keyをダブルクリック → F2を押してブレークポイントを設定 → F9を押してもふったーを動かす
- 「HTTPS 通信有効」にチェックを入れ、「ブラウザで認証」を押す
- Immunity Debuggerの画面を見るとConsumer keyが見つかる。右下のスタックの欄を下にスクロールすると、Consumer secretも見つかる
数分くらい。もふったーはTweetDeckよりしっかりしているけど、それでもその気になれば見つけられるわけで、別に平文で保存していても良いのでは? スペシャルねこまんま57号を使うのも、Immunity Debuggerを使うのも大差無いと思う。