ひどい横着して、ついに禁断の手法に手を出します。
だってめんどくさいんだもん。

以下、Twitterでの自分のPostのコピペ。

例のDMが届いてた。Twitterの OAuth同意画面の文言はTwitter側が固定の文言を決めてるはずなので、Mobster側がわざと分かりづらい文言を巧妙に入れているわけではないはず。そもそもConsumerが同意画面に表示する文言をカスタマイズできたら、不正やりたい放題だし

Twitter側がAPI単位で Scopeを分けるなりをして、利用同意した場合Twitter上でユーザーのどんな行為をConsumerが代行できてしまうのかをリスクとして同意画面上に明示するべきだとおもう。（そんなのめんどくさいからTwitterはやらなそうだけど）

そもそもすべてのfollowersに一括でDMを送れてしまうような機能を、一般公開してるAPIでできるようにしちゃってることも問題な気がするので、Twitter側で単にAPIの機能を限定するという対処もありかと。もしくは機能自体でなくそれを使えるConsumerを制限するか。

Mobsterも含め、３つほどTwitter OAuthを使っているアプリの同意画面をキャプチャしたので貼っておきます。これを見比べると文言は固定になっていることが分かるはずです。

「This application plans to use Twitter for logging you in in the future.」だけ異なるのは、Twitter側からuseridを受け取っているか、いないかだけの違いによってTwitter側で文言をon/offさせているのだと思います。（おしえてid:ritou）

それでは！

追記：

すでに「Read-only」「Read & Write」の２つのScopeは現時点で確認できました。
ここまで利用が拡大している状況で、この２つだけのScopeでいいのか？というのが焦点だと思います。

MobstarWorldのOAuth利用スパムについて - r-weblife