Joseph Goodman
0 
1647
38
Vypadá to, že při každém přihlášení k nové službě si můžete vybrat uživatelské jméno a heslo nebo se jen přihlásit pomocí Facebooku nebo Twitteru. Často se také můžete přihlásit pomocí účtu Google. Je to rychlé a snadné. Ale měli byste to udělat?
Jak to funguje?
Přihlašování pomocí sociálního účtu používá protokol s názvem OAuth, který (v kostce) umožňuje jedné aplikaci nebo službě (žadateli nebo službě, ke které se přihlašujete), připojit se k jiné (poskytovatel služby nebo existující síť, znovu použít k registraci) a jednat vaším jménem. To se provádí vydáním “žetony” do žádající aplikace. Tyto tokeny fungují podobně jako vaše uživatelské jméno a heslo, protože dávají žádající aplikaci přístup ke službě chráněné heslem (např. Facebook).
Důležité je, že vaše aktuální uživatelské jméno a heslo nejsou mezi aplikacemi nikdy komunikovány a že žádající aplikace získá přístup pouze k omezené části vašeho účtu chráněného heslem.
Podívejme se na rychlý příklad. Řekněme, že používáte Blurb k přeměně vašich fotografií z Facebooku na knihu Tři snadné způsoby, jak proměnit váš Facebook na skutečnou knihu [Týdenní tip na Facebooku] Tři snadné způsoby, jak proměnit svůj Facebook na skutečnou knihu [Týdenní tip na Facebooku] Už jste někdy chtěli vytvořit skutečnou tištěnou knihu o věcech, které máte na Facebooku? Možná máte příbuzné, kteří nejsou na Facebooku, ale rádi byste viděli obrázky, které jste vložili…. Jdete do Blurb (žadatel) a řeknete mu, že chcete tisknout fotografie z Facebooku. Blurb vás přesměruje zpět na Facebook (poskytovatel služeb), kde zadáte přihlašovací údaje (zaslané přímo na Facebook, nikoli Blurb) a řeknete Facebooku, že udělujete Blurb povolení k přístupu k vašim fotografiím. Nyní může Blurb tyto fotografie stáhnout, aby je bylo možné vytisknout. Pokud se Blurb pokusí získat přístup k vaší časové ose, bude to odmítnuto, protože token, který má, mu dává přístup pouze k vašim fotkám a veřejnému profilu..
OAuth nikdy nesdílí vaše uživatelské jméno nebo heslo s žádající aplikací, přičemž myšlenka spočívá v tom, že vaše uživatelské jméno a heslo v tajnosti je chrání. Chcete-li zabránit přístupu žádající aplikace nebo služby k vašemu účtu, stačí kliknout “odebrat přístup,” namísto změny hesla.
Je to bezpečné?
Dobře, takže se zdá, že tento proces je zatím docela jednoduchý. Jak je to bezpečné? Měli bychom se starat o bezpečnost stránek OAuth?
Z hlediska bezpečnosti vypadá OAuth docela dobře. Nejhorší scénář stále nevede k odhalení vašich sociálních hesel. A schopnost okamžitého odvolání přístupu k jakékoli aplikaci, která má token, znamená, že i když se web napadne a některé škodlivé postavy dostanou ruce na všechna tokenová data, stačí stisknout tlačítko odvolání přístupu a nebudou mít přístup na vaše sociální stránky.
Skutečnost, že sdílíte pouze přístup ke konkrétní podmnožině dat na vašem sociálním webu, je také docela lákavá - pokud někdo hackne Snapfish a získá přístup k vašim fotkám na Facebooku, neměli byste se příliš obávat (vy jsou starat se o fotky, které zveřejníš, že?).
Navzdory nedávnému dramatickému objevení bezpečnostní chyby v systému OAuth je tento systém docela dobrý.
V online bezpečnosti je však více než jen šifrování a tokeny. Jedním z nejlepších způsobů, jak se ujistit, že jste v bezpečí online, je použití správných postupů při používání hesel. A OAuth s tím hodně pomáhá. Jak? Pokud se budete moci přihlásit pomocí Twitteru nebo Google, nemusíte se zatím vytvářet další heslo, které si musíte pamatovat. Pokud máte velmi zabezpečené heslo Facebooku, můžete jej použít pro přístup k mnoha věcem bez použití stejného hesla pro více webů.
To je výrazná výhoda OAuth - a skutečnost, že omezíte počet webů, které mají vaše hesla, je velké plus.
Je také důležité zmínit, že weby, které přistupují k vašim sociálním profilům, nemohou podniknout žádné významné akce - nemohou váš účet smazat, změnit heslo ani provést žádné další velké změny. Což je uklidňující.
Jaká rizika riskujete??
Pokud jde o zabezpečení a bezpečnost online, bohužel není nic jednoduchého. Při používání protokolu OAuth existuje určitá rizika, která se většinou týkají soukromí.
Například, jak často si uděláte čas, abyste se opravdu podívali na oprávnění, která dáváte, když používáte Facebook Connect? I když by aplikace měly požadovat přístup pouze k informacím, které potřebují, aby vám mohly lépe sloužit, často požadují mnohem více - vaši časovou osu, informace vašich přátel a schopnost zveřejňovat příspěvky, například.
Někdy je to dobrá věc - možná budete chtít integrovat Twitter do své aplikace pro kontakty nebo do čtečky zpráv. Nebo byste mohli chtít zveřejnit své výsledky tréninku z RunKeeperu Sledujte své tréninkové cíle, zatímco trénujete s RunKeeperem [Android] Sledujte své tréninkové cíle, zatímco vy trénujete s RunKeeperem [Android] Kolem MakeUseOf, rádi vyhledáváme aplikace a další online motivátory zůstat zdravý a zdravý. Po prozkoumání těchto fitness aplikací čas od času se RunKeeper vždy prokáže, že je jedním z nejlepších. Je to ... nebo MapMyFitness. V povolení však není nic, co by zabránilo aplikaci nebo službě zveřejňovat, co chtějí. Ne “pouze výsledky průzkumu” volba. Musíte pouze věřit, že aplikace zveřejní pouze věci, které chcete, nebo jim to sdělíte, nikoli reklamy.
A možná budete rozdávat více informací, než jste vyjednali. Koho zajímá, jestli váš oblíbený obchod uvidí to, co zveřejňujete na Facebooku, že? Mohli by získat více informací, než jste si mysleli.
Například na konferenci v roce 2012 hovořila japonská katalogová společnost o tom, jak používá informace z uživatelského profilu na Facebooku k odvozování věcí “o zákazníkovi “životní fáze” (ať už jsou manželé nebo nesezdaní, těhotní, diety, plánování strany atd.) “Domácnost” (pokud mají dítě, stárnoucího rodiče, domácího mazlíčka, byt atd.) a “osobnost” (jedná se o dobrovolnictví, věštění, jídlo, cestování, sport, běh atd.).”
Člen marketingového týmu uvedl, že tým “se mohou naučit životní prostředí našich zákazníků - jejich životní styl a psychologii. Poté můžeme odpovídajícím způsobem zacílit na naše katalogy. A můžeme předvídat, kdy někdo potřebuje produkt na základě toho, co říká na sociálních médiích.”
Nemyslel si, že jsi rozdával tolik informací, že??
Samozřejmě máte plnou kontrolu nad tím, co sdílíte se společností pomocí sociálních přihlášení a kolik mohou za vás zveřejnit - ale pouze pokud si uděláte čas a přečtete si oprávnění, o která žádají. A nedovolte přístup k věcem, které byste raději nechali v soukromí. To však není vždy snadné, protože některé aplikace a služby nyní používají přihlášení pouze na Facebooku nebo Twitteru, což znamená, že pokud nesouhlasíte s jejich oprávněními, nebudete moci službu používat..
Lekce s sebou: Co byste měli dělat?
Stejně jako u většiny věcí existuje příběh o přihlášení pomocí sociálních účtů ze dvou stran. Je to obecně docela bezpečné a ve skutečnosti máte docela dost kontroly nad tím, kolik informací sdílíte.
Na druhou stranu můžete dávat hodně kontroly, pokud si nejste opatrní. Co byste s tím měli dělat?
- Než žádosti udělíte, přečtěte si žádosti o povolení.
To je důležité a bude to jen důležité, protože se webové služby začnou více integrovat. Pokud nechcete, aby aplikace shromažďovala data o vašich přátelích na Facebooku, neumožněte mu přístup na Facebook.
- Oprávnění aplikace často kontrolujte.
Na Facebooku přejděte na kartu Nastavení na obrazovce Nastavení. Na Twitteru také přejděte na kartu Aplikace v Nastavení. Google je o něco složitější: přejděte na accounts.google.com, poté klikněte na Zabezpečení a poté na Zobrazit vše v části Povolení účtu. Podívejte se, které aplikace mají přístup k vašim datům, a zrušte přístup pro vše, co již nepoužíváte. A pokud vidíte aplikaci, která má více oprávnění, než by měla, zvažte zrušení přístupu a zda se do této služby můžete přihlásit pomocí tradičního uživatelského jména a hesla.
Chcete-li tento proces urychlit, můžete použít příliš mnoho aplikací MyPermissions Too Many Apps? Jak zrušit oprávnění aplikace z více webů za 2 minuty příliš mnoho aplikací? Jak zrušit oprávnění aplikace z více webů za 2 minuty Svět online nabízí mnoho obav o soukromí. Všichni víme, že na Facebooku bychom neměli zveřejňovat soukromé věci, nesmíme zapisovat naši e-mailovou adresu na nápadných místech a měli bychom si opravdu dávat pozor, protože…, což vám pomůže spravovat svá oprávnění na Facebooku, Twitteru, Google, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox a další.
- Přeskočte oprávnění a nastavte přípustné publikum pro sdílení.
Pokud aplikace požádá o povolení sdílení ve vašem zastoupení prostřednictvím sociální služby, možná budete mít příležitost toto povolení neudělit (toto uvidíte na Facebooku, když uvidíte “Přeskočit” tlačítko). Pokud je to možnost, použijte ji! Můžete také nastavit publikum pro přípustné sdílení - můžete například sdílet se všemi svými přáteli, s vlastním publikem nebo jen s vámi.
- Zpracování žádostí o oprávnění se liší podle účtů.
Co zveřejňujete na Instagramu? Co zveřejňujete na Twitteru? Žádost o přečtení příspěvků ze služby Foursquare může být mnohem méně děsivá než udělení “Vytvořte a odešlete novou poštu” oprávnění k vašemu účtu Gmail.
- Pravidelně měňte svá hesla.
Když změníte hesla, bude počet tokenů OAuth okamžitě zneplatněn, což vyžaduje, abyste se znovu přihlásili a znovu schválili. Pokud se mi podařilo zjistit, Gmail a Facebook zruší tokeny, když změníte heslo, ale Twitter a Google+ ne. U těchto dalších služeb budete muset zrušit přístup a znovu vydat oprávnění.
Závěr: Pohodlí za cenu
Přihlašování k webům a službám pomocí sociálních údajů vám přináší spoustu pohodlí a dokonce i trochu zabezpečení. Ale to umět být riskantní, a to jak z hlediska ochrany soukromí, tak z hlediska nižší bezpečnosti. Pokud však praktikujete výše uvedených pět bezpečnostních tipů, měli byste dávat pouze oprávnění, která chcete.
Jak často používáte své sociální přihlašovací údaje na jiném webu? Cítíte se v bezpečí? Pravidelně čtete a znovu kontrolujete oprávnění? Podělte se o své myšlenky níže!