Mark Lucas
0 
3527
310
Čini se da svaki put kad se prijavite za novu uslugu možete odabrati korisničko ime i lozinku ili se samo prijaviti putem Facebooka ili Twittera. Prijavljivanje putem svog Google računa često je također opcija. To je brzo i lako. Ali trebate li to učiniti??
Kako radi?
Prijavljivanje pomoću društvenog računa koristi protokol nazvan OAuth, koji (ukratko) omogućuje da se jedna aplikacija ili usluga (podnositelj zahtjeva ili usluga za koju se prijavite) povežu s drugom (pružateljem usluga ili postojećom mrežom koju ste upotrebljavate se za prijavu) i djelujte u vaše ime. To se vrši izdavanjem “tokeni” aplikaciji koja traži Ovi tokeni funkcioniraju pomalo kao vaše korisničko ime i lozinka, jer aplikaciji koja zahtijeva zahtjev pristupa usluzi zaštićenoj lozinkom (npr., Facebook).
Ovdje je važno da vaš stvaran korisničko ime i zaporka nikada se ne komuniciraju između aplikacija i aplikacija koja traži samo pristup ograničenom dijelu vašeg računa zaštićenom lozinkom.
Pogledajmo brzi primjer. Recite da koristite Blurb da biste svoje fotografije na Facebooku pretvorili u knjigu Tri jednostavna načina da vaš Facebook pretvorite u pravu knjigu [Tjedni Facebook savjet] Tri jednostavna načina da vaš Facebook pretvorite u pravu knjigu [Tjedni Facebook savjet] Jeste li ikad poželjeli napraviti pravu knjigu na papiru s stvarima koje imate na Facebooku? Možda imate rođake koji nisu na Facebooku, ali voljeli bi vidjeti slike koje ste stavili ... Otiđete u Blurb (tražitelj) i kažete mu da želite ispisati fotografije s Facebooka. Blurb vas usmjerava na Facebook (davatelja usluga), gdje unosite vjerodajnice za prijavu (poslane izravno na Facebook, a ne Blurb) i kažu Facebooku da dajete Blurb dozvolu za pristup vašim fotografijama. Sada Blurb može preuzeti te fotografije kako bi se mogle ispisati. Ako Blurb pokuša pristupiti vašoj vremenskoj traci, bit će odbijen, jer token koji ima samo daje pristup vašim fotografijama i javnom profilu.
OAuth nikad ne dijeli vaše korisničko ime ili lozinku s aplikacijom koja traži, a ideja je da tajnost vašeg korisničkog imena i lozinke čuvaju u tajnosti. A da biste spriječili aplikaciju ili uslugu da zatraže pristup vašem računu, sve što morate učiniti je kliknuti “opozvati pristup,” umjesto da promijenite zaporku.
Da li je sigurno?
Ok, tako da do sada postupak izgleda prilično jednostavno. Ali koliko je to sigurno? Trebamo li biti zabrinuti za sigurnost web lokacija OAuth?
Sa sigurnosnog stajališta, OAuth izgleda prilično dobro. Najgori scenarij još uvijek ne rezultira otkrivanjem vaših društvenih zaporki. A mogućnost trenutnog opoziva pristupa bilo kojoj aplikaciji koja ima token znači da čak i ako web stranica bude hakirana, a neki zlobni likovi rukuju svim podacima tokena, možete jednostavno pritisnuti gumb za opoziv pristupa i oni neće imati pristup vašoj društvenoj stranici.
Činjenica da samo dijelite pristup određenoj podskupini podataka na svojoj društvenoj web stranici također je prilično privlačna - ako netko hakira Snapfish i dobije pristup vašim Facebook fotografijama, ne biste se trebali previše zabrinuti (vi su vodeći računa o fotografijama koje objavljujete, zar ne?).
Unatoč nedavnom dramatiziranom otkriću sigurnosnih propusta u OAuthu, sustav je prilično dobar.
Međutim, internetska sigurnost ne može imati više od šifriranja i tokena. Jedan od najboljih načina da osigurate svoju sigurnost na mreži je upotreba dobrih praksi zaporke. I OAuth puno pomaže u tome. Kako? Ako se možete prijaviti putem Twittera ili Googlea, ne morate još stvarati još lozinku koju morate zapamtiti. Ako imate vrlo sigurnu Facebook lozinku, možete je koristiti za pristup brojnim stvarima bez upotrebe iste lozinke za više web lokacija.
Ovo je posebna prednost OAuth-a, a činjenica da ograničavate broj web stranica koje imaju vaše lozinke je veliki plus.
Važno je napomenuti i da web mjesta koja pristupaju vašim društvenim profilima ne mogu poduzeti nikakve veće akcije - nisu u stanju izbrisati vaš račun, promijeniti zaporku ili izvršiti bilo kakve velike promjene. Što je uvjerljivo.
Koje rizike preuzimate?
Nažalost, ništa nije jednostavno kada je u pitanju internetska sigurnost i sigurnost. Postoje rizici korištenja OAuth, uglavnom vezani za privatnost.
Na primjer, koliko često oduzimate vrijeme da stvarno pogledate dopuštenja koja dajete kada upotrebljavate Facebook Connect? Iako aplikacije trebaju tražiti pristup samo informacijama koje su vam potrebne da bi vam bolje služile, one često traže puno više - vašu vremensku traku, podatke svojih prijatelja i mogućnost postovanja, na primjer.
Ponekad je to dobra stvar - možda želite integrirati Twitter u aplikaciju za kontakte ili čitač vijesti. Ili možda želite objaviti rezultate treninga iz RunKeeper-a. Pratite svoje ciljeve treninga dok vježbate s RunKeeper-om [Android] Pratite svoje ciljeve treninga dok vježbate s RunKeeper-om [Android] Oko MakeUseOf, volimo pronaći aplikacije i druge internetske motivatore ostati zdrav i zdrav. Nakon što provjeravam ove fitness aplikacije s vremena na vrijeme, RunKeeper se uvijek pokazao jednim od najboljih. To je ... ili MapMyFitness. No, u dozvolama nema ničega što bi spriječilo da aplikacija ili usluga objavljuju sve što žele. Ne postoji “objaviti samo rezultate ankete” opcija. Jednostavno morate vjerovati da će aplikacija objavljivati samo stvari koje želite ili im reći, a ne oglase.
A vi možda dajete više informacija nego što ste se dogovarali. Koga briga ako vaša omiljena trgovina vidi ono što objavljujete na Facebooku, zar ne? Pa, možda dobivaju više informacija nego što ste zamislili.
Na primjer, na konferenciji 2012. japanska kataloška tvrtka govorila je o tome kako je koristila informacije na Facebook profilu korisnika da bi zaključila stvari “o kupčevoj “životna faza” (bilo da su u braku ili neudani, trudni, dijeta, planirate zabavu itd.) “domaćinstvo” (ako imaju dijete, roditelja koji stari, kućnog ljubimca, stanu itd.) i “osoba” (bave li se volontiranjem, znanjem o sreći, hranom, putovanjima, sportu, trčanju itd.).”
Član marketinškog tima izjavio je da tim “mogu naučiti životnu pozadinu naših kupaca - njihov životni stil i psihologiju. Tada možemo u skladu s tim ciljati naše kataloge. I možemo predvidjeti kada nekome treba proizvod na temelju onoga što kažu na društvenim medijima.”
Mislio sam da ne dajete toliko informacija, zar ne??
Naravno, imate potpunu kontrolu nad onim što dijelite s tvrtkom koja koristi društvene prijave i koliko toga mogu objaviti za vas - ali samo ako odvojite vrijeme za čitanje dopuštenja koja traže. I ne dajte pristup stvarima koje biste radije držali privatnima. Ali to nije uvijek jednostavno, jer neke aplikacije i usluge sada upotrebljavaju prijavu samo za Facebook ili Twitter, što znači da ako ne pristanete na njihova dopuštenja, nećete koristiti uslugu.
Lekcije za poneti: što trebate učiniti?
Kao i kod većine stvari, i ove se priče o prijavi pomoću društvenih računa nalaze dvije strane. Obično je sasvim sigurno, a vi zapravo imate malo kontrole nad količinom informacija koje dijelite.
S druge strane, možda ćete odavati puno kontrole ako niste pažljivi. Pa što bi trebao učiniti u vezi s tim?
- Prije odobrenja pročitajte zahtjeve za dozvolom.
Ovo je važno, a dobivaće samo na važnosti kako se web usluge integriraju. Ako ne želite da aplikacija prikuplja podatke o svojim prijateljima na Facebooku, ne dozvolite joj pristup Facebooku.
- Dozvolite često pregledavati dozvole aplikacije.
Na Facebooku idite na karticu Apps na zaslonu postavki. Na Twitteru također idite na karticu Aplikacije u Postavke. Google je malo zamršeniji: idite na account.google.com, zatim kliknite Sigurnost, a zatim Prikaži sve pod Dozvole računa. Pogledajte koje aplikacije imaju pristup vašim podacima i opozovite pristup nečemu što više ne upotrebljavate. A ako vidite aplikaciju koja ima više dozvola nego što bi trebala, razmislite o opozivu pristupa i provjerite možete li se prijaviti na tu uslugu s tradicionalnim korisničkim imenom i zaporkom.
Da biste ubrzali postupak, možete koristiti MyPermissions Previše Apps? Kako opozvati dozvole aplikacija s više web stranica u 2 minute previše aplikacija? Kako opozvati dozvole aplikacija s više web stranica u 2 minute Internetski svijet nudi mnoga pitanja vezana uz privatnost. Svi znamo da na Facebooku ne smijemo objavljivati privatne stvari, ne smijemo zapisati svoju e-mail adresu na uočljivim mjestima i stvarno bismo trebali obratiti pažnju kao…, što vam pomaže u upravljanju vašim dozvolama na Facebooku, Twitteru, Googleu, Yahoo, LinkedIn, Foursquare, Instagram, Dropbox i još mnogo toga.
- Preskočite dozvole i postavite dopuštenu publiku za dijeljenje.
Ako aplikacija zatraži dozvolu za dijeljenje u vaše ime putem društvene usluge, možda ćete imati priliku ne dati to dopuštenje (to ćete vidjeti na Facebooku kada vidite “Preskočiti” dugme). Ako je to opcija, iskoristite je! Također možete postaviti publiku za dozvoljeno dijeljenje - na primjer, možete ih dijeliti sa svim svojim prijateljima, prilagođenom publikom ili samo sobom.
- Tretirajte na zahtjeve za dozvolama različito na temelju računa.
Što objavljujete na Instagramu? Što objavljujete na Twitteru? Zahtjev za čitanjem Vaših četverokutnih postova može biti puno manje zastrašujući od odobrenja “Sastavite i pošaljite novu poštu” povlastice na vaš Gmail račun.
- Redovito mijenjajte svoje lozinke.
Kada promijenite lozinku, određeni broj OAuth tokena bit će odmah nevažeći što zahtijeva da se ponovo prijavite i ponovo odobrite tokene. Koliko sam uspio shvatiti, Gmail i Facebook nevaže tokene kad promijenite zaporku, ali Twitter i Google+ ne. Za ove druge usluge morat ćete opozvati pristup i ponovno izdati dopuštenja.
Zaključak: Praktičnost za cijenu
Prijavljivanje na web stranice i usluge pomoću vaših društvenih podataka dodaje puno pogodnosti, pa čak i malo sigurnosti. Ali to limenka biti rizični, sa stanovišta privatnosti i - u manjoj mjeri sigurnosti. Ali ako vježbate pet gornjih sigurnosnih savjeta, trebali biste dati samo dopuštenja koja namjeravate.
Koliko često koristite svoje društvene podatke za prijavu na nekom drugom mjestu? Osjećate li se sigurno kad to radite? Čitate li i ponovno provjeravate dopuštenja redovito? Podijelite svoja razmišljanja u nastavku!