もふったーをハックしたら予想以上に酷かった件

TweetDeck をハックしたら予想以上に酷かった件 - Windows 2000 Blog

もふったーの作者が、TweetDeckがConsumer keyとConsumer secretを平文で持っていることを批判していたので、もふったーはどうなっているのか調べてみた。

  1. もふったーをインストールする
  2. Immunity Debuggerをインストールする
  3. Immunity Debuggerでもふったーを開き、下の画面のようになるまで、F9を押して実行する
  4. CPUウィンドウの左上の欄で右クリック → Search for → All referenced text strings
  5. 出てきた画面で右クリック → Search for text → 「consumer_key」で検索
  6. oauth_consumer_keyをダブルクリック → F2を押してブレークポイントを設定 → F9を押してもふったーを動かす
  7. HTTPS 通信有効」にチェックを入れ、「ブラウザで認証」を押す
  8. Immunity Debuggerの画面を見るとConsumer keyが見つかる。右下のスタックの欄を下にスクロールすると、Consumer secretも見つかる

数分くらい。もふったーはTweetDeckよりしっかりしているけど、それでもその気になれば見つけられるわけで、別に平文で保存していても良いのでは? スペシャねこまんま57号を使うのも、Immunity Debuggerを使うのも大差無いと思う。