一个账号闯天下 方便了,危险了
安全防线
小新打黑
当下,第三方登录越来越流行,例如QQ账号已经成为国内最大的第三方登录账号,一个账号就可以走天下的趋势越来越明显。但大家知道吗?在第三方登录背后,潜伏着很多安全风险。
影响人群:新浪微博用户、QQ用户
在手机中滥用权限的现象非常严重,很多程序都会索取不需要的权限,例如游戏程序索取联网权限、地理位置获取权限等。
被忽视的开放授权
开放授权(OAuth)是什么?它是一个标准,允许用户通过开放平台直接访问其他网站,且不需要将用户账号和密码交给那些网站。这就好比你是A小区的业主,持有该小区的业主证,就可以直接去B小区、C小区溜达。
用户很少关心开放授权的细节,一般都是直接授权,却不知道其中暗藏的安全风险——泄露隐私。也就是说,B小区、C小区的保安会看到业主证上的信息,会掌握业主在A小区的相关活动。你的隐私就这样泄露了,而你根本不知道背后有多少双眼睛在盯着你。
开放授权为何被滥用
为什么开放授权会被滥用呢?为什么用户一直被蒙在鼓里呢?原因主要有两个:第一个原因是开放平台不规范。审核标准不透明,限制授权的内容也不透明,且这两个没有统一的行业标准,尺度都是各开放平台自己掌控,存在睁一只眼闭一只眼的情况就不稀奇了。
第二个原因是开发者的不自律。仅需要登录信息只读权限,不需要的权限不去申请,这原本是理想的状态,但事实并非如此,开发者索取额外的权限已经成为行业的“潜规则”,虽然拿着这些权限不会直接干坏事,但直接威胁到了用户的隐私安全。
取消不用的授权
开放授权要用,又不想担隐私泄露的风险怎么办?除了呼吁行业规范开放授权外,我们还可以这么操作:及时将不用的授权取消。下面,我们针对用得较多的新浪微博第三方登录和QQ第三方登录,讲解如何取消授权。
新浪微博
登录新浪微博,在主界面的顶部点击“应用”进入应用广场页面,然后在左侧中部点击“我的应用”就可以看到授权过的应用(点击“授权网站”、“游戏”可以找到授权过的网站和游戏),将它们当中不用的挑选出来,点击它们Logo下面的“取消授权”即可。
在QQ主界面中点击“主菜单”→“所有服务” →“QQ空间”,进入QQ空间后在顶部点击“设置” →“空间设置”,再点击“QQ登录”,就可以看到授权过的网站,在网站后面点击“取消授权”,再点击“确定”即可。
评论嘉宾
得到授权的应用和网站越多,就意味着有更多的应用和网站可以接触用户的账号资料,隐私泄露和被广告骚扰的几率也会更大。不过,应用和网站不会接触到账号的密码,并不存在被盗号的风险。——@卡巴斯基技术总监Andrey Kostin
滥用授权在程序员圈不是什么秘密。其实国外的程序员也是这样,苹果手机通讯录泄密不也是程序员滥用授权造成的吗?——@展令扬(高级程序员)
从我们黑客的角度来说,欢迎第三方登录体系的建成,你想想以后一个账号的含金量就大增了,可以卖一个好价钱。——@小华(独立黑客)