Опасность технологии OAuth применительно в Gmail

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 19 фев 2012.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Как часто пользователи аккаунтов Gmail регистрируются в различных сервисах и разрешают этому приложению доступ к своему почтовому ящику (доступ к Twitter, доступ к Facebook и так далее)?

    [​IMG]

    В последнее время это стало обычным делом и считается вполне безопасным способом передать доступ без разглашения конфиденциальной информации. Действительно, в таких случаях используется технология OAuth, так что логин и пароль пользователя не передаются стороннему сервису. Gmail добавил поддержку открытого стандарта OAuth в марте 2010 года, и с тех пор эта технология получила большое распространение.

    Но Энди Байо (Andy Baio) из журнала Wired поднял интересную проблему: данный метод стал настолько вездесущим, что многие пользователи уже раздают подобные разрешения направо и налево, совершенно не задумываясь — а кому, собственно. Например, запускается стартап с каким-то интересным предложением (скажем, отписка одним щелчком от всех маркетинговых рассылок). На своём сайте они, разумеется, просят разрешения на безопасный доступ к почтовому ящику. Но на их сайте нет никакой контактной информации, ни имени, ни адреса компании — это обычно для стартапа. Кому мы даём доступ в свой почтовый ящик? Ведь так называемый «стартап» с подобным сервисом могут запустить злоумышленники.

    Популярность стандарта OAuth стала такой большой, что он буквально тренирует людей забывать о безопасности. Для интереса, Энди Байо посмотрел свои настройки и ужаснулся: у него оказалось 49 приложений, подключённых к Gmail, 80 к Twitter и более 120 — к Facebook. И он не одинок, некоторые другие пользователи выложили свою статистику: например, у Сэмюеля Коула (Samuel Cole), разработчика Kickstarter, 148 приложений подключено к Twitter. Предприниматель Энил Дэш (Anil Dash) насчитал 88 приложений, подключённых к аккаунту Google и девять — к Gmail.

    [​IMG]

    Но если в случае с Twitter и Facebook пользователю вряд ли грозит какая-то серьёзная угроза, потому что никто не хранит там особо приватных данных, то Gmail — другое дело. Получив разрешение, программа имеет неограниченный доступ к архиву писем пользователя. Среди программ, которые требуют доступа к Gmail, можно перечислить TripIt, Greplin, Rapportive, Xobni, Gist, OtherInbox, Unsubscribe, Backupify, Blippy, Threadsy, Nuevasync, How’s My Email, ToutApp, ifttt, Email Game, Boomerang, Kwaga, Mozilla F1, 0boxer, Taskforce, Cloudmagic и многие другие.

    В этом смысле удивительно, что настройки приватности Google по разрешениям для отдельных приложений запрятаны настолько глубоко, даже дальше, чем у Facebook.

    Источник
     
    1 человеку нравится это.

Поделиться этой страницей