Twitter の "Protect my updates" というのは、あまりあてにならない。

Twitter には固定 URI を GET すると JSON を返す API があるので

• http://twitter.com/statuses/friends.json で friends 一覧をとって
• http://twitter.com/statuses/user_timeline.json?id=XXX で利用者ごとのタイムラインをとって
• それを XMLHttpRequest かなにかでそれを送信

なんてスクリプトを書いた HTML を自分のサイトに置いて、あとは Twitter にログインしている JavaScript を実行するブラウザをさそいこめば、"Protect my updates" なひとのメッセージもとることができるからだ。ちょっとまえの Gmail のコンタクトリスト問題に似ている。

だから "Protect my updates" して信頼できる友達だけ add しているからといっても、あんまりまずいことは書かない方がいい。ちなみに同条件下のブラウザで引数無しの http://twitter.com/statuses/user_timeline.json をとれば fladdict.net blog: MIXIを使った、トラフィックの個人追跡システム みたいなことも出来る。

Direct Message のほうは、クッキーつきの GET では 401 Unauthorized になって Authorization: もつけないとだめなあたりをみると、Twitter 側はわかってやっているのだろうけど、利用者側にわかられているかは微妙なように思う。