Kan appar lita på när du begär dina uppgifter?

Fråga:

UncleZeiv

2011-09-06 04:42:21 UTC

view on stackexchange narkive permalink

Jag köpte nyligen en nyhetsläsar-app för min surfplatta som ansluts till Google Reader. För att göra det krävdes mitt lösenord för Google-kontot. Är det inte effektivt samma som att hantera lösenordet till utvecklarna av nämnda app? Jag bryr mig inte om att någon annan läser mina flöden, men det kan också användas för att komma åt min privata e-post ... Är det inte en extremt effektiv metod för att samla in lösenord och en fruktansvärd säkerhetsrisk för användarna?

Är du säker på att det faktiskt frågade efter ditt lösenord för Google-kontot i stället för att omdirigera dig till Google för att begära tillstånd via OAuth (se svar nedan)?

Inte säker, men den presenterade en form som överensstämde med applikationens utseende och känsla, så inget sätt att berätta vad som hände bakom kulisserna, men såg misstänksam ut ...

Fyra svar:

this.josh

2011-09-07 13:35:56 UTC

view on stackexchange narkive permalink

Kan appar lita på när du begär dina referenser?

Nej. I moderna applikationer och webbapplikationer har användarna blivit domare för förfrågningarna om användarnamn, lösenord och olika andra oskyldiga detaljer. Gemensamheten har lett till att användare tror att dessa informationsbitar är användbara för applikationen. Detta är dock fel. Med sällsynt undantag är autentisering onödig för applikationsfunktionen.

Jag tror faktiskt att användningen av autentisering är skadlig för användaren. Det gör autentisering för vanligt, vilket gör användarna mindre försiktiga och försiktiga i fall där autentisering behövs. Det strukturerar identitetsutrymmet vilket gör det lättare för angripare att gissa din identitet. Det förenklar nyckelutrymmet vilket gör det lättare för angripare att hitta dina nycklar. Det dämpar driftsäkerheten och försämrar säkerhetspraxis för tillgångar med värde.

Är det inte samma sak som att hantera lösenordet till utvecklarna av nämnda app?

Ja, med sällsynta undantag. Även i fall där protokollet inte levererar lösenordet direkt till applikationen eller utvecklaren utan istället levererar en autentiseringstoken är potentialen för missbruk och missbruk hög. Även OAuth har sårbarheter "Detta protokoll gör inget försök att verifiera serverns äkthet.".

Är det inte en extremt effektiv metod för att samla in lösenord och en fruktansvärd säkerhetsrisk för användarna?

Ja, även om det är oavsiktligt kan dåligt utformade autentiseringsscheman ge en mängd information för angripare. Även om användarnamnet och lösenordet du använder för en typisk applikation inte är desamma som användarnamnet och lösenordet du använder för viktigare tillgångar, hjälper mönstren du använder angripare att begränsa den värdefulla autentiseringen. Däremot har väldesignade protokoll som OAuth en ljus sida: de minskar antalet par användarnamn och lösenord, liksom antalet dåligt designade och dåligt implementerade autentiseringsgränssnitt.

Men vi måste också titta på OAuth-tjänsteleverantörerna: Google, Yahoo och Facebook. Detta är företag med intresse av att samla in och samla information om användare specifikt för att tjäna pengar på den informationen. Att använda dessa företag som autentiseringsleverantörer är delvis en bisarr förvrängning av förtroende. Du litar på att dessa företag hanterar autentisering av din identitet endast till parter du anger . Även om de har ett motstridigt intresse av att tillhandahålla information om dig med så hög upplösning som möjligt till parter som du inte är medveten om. Deras mest effektiva påstående är att informationen de tillhandahåller om dig till tredje part är anonym. De menar att detta kommer att vara sant trots att de nu vet din identitet och har autentiserat den, potentiellt många gånger. Jag har inte kunnat hitta någon policy som specifikt anger att dessa leverantörer aldrig tillåter att din autentiserade identitet kopplas till andra insamlade. Varningslöshet.

Applikationen i fråga: "nyhetsläserapp för min surfplatta som ansluter till Google Reader"

Syftet med denna applikation är att övervaka kostnadsfritt offentligt tillgängligt onlineinnehåll ( webbplatser och RSS-flöden) för nytt innehåll, för att meddela dig när nytt innehåll upptäcks och för att visa innehållet på begäran. Onlineinnehållet är inte unikt för dig, vilket innebär att du inte behöver identifiera dig för att få informationen.

Uppgifterna som inte står till dig är listan över webbplatser och vilket innehåll du har markerat som inte nytt. Unikhet kräver identitet men inte nödvändigtvis autentisering. Applikationen använder Google Reader, även om den helt enkelt kan implementera sina egna funktioner utan att behöva använda Google Reader. Sannolikt gör applikationen detta för att hålla dina data sammanhängande (synkroniserade). Du vill kunna kontrollera onlineinnehåll från ett antal olika enheter och inte behöver uppdatera ändringar manuellt på en enhet som du har gjort på en annan. Observera att applikationen fortfarande kan synkroniseras med andra enheter utan att använda Google Reader.

Din unika data (webbplatslistor och läsinnehåll) överförs till och från din enhet. Autentisering ger inte sekretess (sekretess). Så autentisering skyddar inte andra från att se dina webbplatslistor och läsinnehåll. Autentisering ger inte integritet, så dina data kan bli skadade eller skadligt modifierade under transport. Vad autentisering ger är ett sätt att kontrollera mottagning och lagring av data. Om informationen kommer från dig måste den vara giltig och därför bör en uppdatering från din nuvarande enhet till alla dina andra enheter accepteras så att dina data hålls synkroniserade.

Tack för dina intressanta tankar. Om vi går tillbaka till det specifika fallet, behöver en nyhetsläsare som gränssnitt med mina Google Reader-flöden någon form av autentisering för att komma åt dem. Även om det beviljas med OAuth, ger detta effektivt applikationen tillstånd att läsa, till exempel, min e-post som är mycket känsligare. Heck, jag kunde göra mina Google Reader-flöden offentliga och jag skulle inte bry mig. I slutändan ser jag detta som Googles fel, det borde verkligen finnas ett sätt att komma åt de mindre känsliga delarna av ditt konto utan att riskera de andra.

Du hamnar i autentiseringsfällan. Om du inte betalar för flödena finns det ingen * funktionell * anledning att autentisera. Om innehållet är gratis och du inte gör några ändringar är informationen du får identisk med den information som lämnas till någon annan. Autentisering bevisar identitet. Identitet krävs endast om de uppgifter du får skiljer sig från de uppgifter som någon annan får.

Hm, antingen förstår jag inte vad du säger, eller så har jag intrycket av att du inte känner till Google Reader. Det är en flödesläsare, jag följer ett urval av RSS-flöden som är mitt eget, och detta, tillsammans med den olästa statusen för inlägget, är det som lagras i mitt Google-konto. Det är därför en app som fungerar som en Google Reader-klient kräver autentisering. Återigen, dessa data är inte känsliga, jag skulle inte ha något emot att ha den offentlig, men tyvärr delar alla Googles tjänster samma autentisering, så utvecklaren av appen kan också läsa min e-post när han vet mitt Google Reader-lösenord!

@UncleZeiv, om apputvecklarna använde sina egna servrar (snarare än Googles) skulle appen inte behöva verifiera användaren. När appen är installerad på din telefon kan den skapa ett nytt konto på servrarna med en ny slumpmässig identifierare. När användaren startar appen därefter kan appen ansluta till servern och synkronisera med samma identifierare för att identifiera sig. Om du vill förhindra att andra tittar på ditt flöde (t.ex. för sekretess eller för att förhindra skada) kan appen skapa ett nytt offentligt tangentbord vid installationstidpunkten och autentisera - allt osynligt.

Ok, jag förstår vad du menar nu, men jag borde ha gjort tydligare att i det här fallet är det tyvärr faktiskt ett krav att ansluta till Googles servrar. Jag läser också mina flöden med andra klienter, och de måste alla synkroniseras.

@this.josh angående redigeringen: tack för förtydligandet. Återigen är det verkliga problemet här att autentisering krävs av Google för att få åtkomst till deras tjänst, och det är samma autentisering som används för andra tjänster som är mycket känsligare. Jag antar att i slutändan antyder du att Google har skulden för hur tillgång till deras tjänster beviljas ... Jag önskar att vi kunde ställa in applikationsspecifika lösenord (som vi kan efter att ha aktiverat tvåstegsautentisering) men med anpassningsbara behörigheter.

D.W.

2011-09-06 12:15:52 UTC

view on stackexchange narkive permalink

Jag håller med @Sebo att detta är en risk. Eftersom Google-kontot delas för många Google-tjänster känns det lite oklart att avslöja ditt Google-lösenord till nyhetsläsaren. Någon som får tillgång till en användares lösenord för Google-kontot kan eventuellt få mycket känslig information om användaren.

Jag håller med @Steve Dispensa att OAuth skulle vara en bra lösning för detta. I själva verket ser det ut som Google stöder redan OAuth-åtkomst till Google Reader - så det finns inget som hindrar nyhetsläsarappen från att utnyttja den här lösningen. Om din nyhetsläsarapp skrevs för att använda OAuth, skulle den inte behöva lagra ditt Google-lösenord. Tyvärr är OAuth inte så känt som det kunde vara.

hur kan en användare berätta om en app använder OAuth?

@UncleZeiv: På Android ber appen dig om tillstånd att använda ditt Google-konto för att identifiera (men * inte * namn eller lösenord!).

Steve Dispensa

2011-09-06 07:48:55 UTC

view on stackexchange narkive permalink

Du har rätt att vara orolig. De flesta användare återanvänder lösenord i ett eller annat sammanhang, och de flesta kommer inte ihåg exakt vad de har gjort var (om de inte bara använder samma ett eller två lösenord överallt).

En möjlig lösning på detta problem :

https://secure.wikimedia.org/wikipedia/en/wiki/OAuth

En annan potentiell lösning är OpenID:

https://secure.wikimedia.org/wikipedia/en/wiki/OpenID http://myopenid.com

Det är värre än så. Detta är en säkerhetsrisk även för en användare som aldrig återanvänder något lösenord - för det enda Google-kontolösenordet ger åtkomst till alla Googles fastigheter, inte bara Google Reader.

Jag erkänner att jag inte omedelbart ser hur OpenID skulle lösa detta problem. Kan du utveckla?

Tanken är att istället för att ge ditt lösenord till en massa olika applikationer och webbplatser, använder du en enda OpenID-referens som gör en enda inloggning. Jag sa "potential" eftersom det verkligen är knutet till webben, snarare än till API-baserade integrationer, men det kan få det att fungera.

Sebo

2011-09-06 11:44:52 UTC

view on stackexchange narkive permalink

Jag tror att det finns en enorm säkerhetsrisk. Även om det är en iPhone-app och Apple granskade den.

Det skulle vara trevligt om google introducerade några alias-inloggningar. Så att du kan ställa in ett annat användarnamn och lösenord. Med det användarnamnet kunde endast vissa tjänster från google nås.

Jag skapar vanligtvis ett separat konto för google-läsaren.

tyvärr verkar google omvända sitt beslut om att sikta på "riktiga identiteter" inte troligt

ⓘ

Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 3.0-licensen som det distribueras under.

about - legalese