Kan appar lita på när du begär dina referenser?
Nej. I moderna applikationer och webbapplikationer har användarna blivit domare för förfrågningarna om användarnamn, lösenord och olika andra oskyldiga detaljer. Gemensamheten har lett till att användare tror att dessa informationsbitar är användbara för applikationen. Detta är dock fel. Med sällsynt undantag är autentisering onödig för applikationsfunktionen.
Jag tror faktiskt att användningen av autentisering är skadlig för användaren. Det gör autentisering för vanligt, vilket gör användarna mindre försiktiga och försiktiga i fall där autentisering behövs. Det strukturerar identitetsutrymmet vilket gör det lättare för angripare att gissa din identitet. Det förenklar nyckelutrymmet vilket gör det lättare för angripare att hitta dina nycklar. Det dämpar driftsäkerheten och försämrar säkerhetspraxis för tillgångar med värde.
Är det inte samma sak som att hantera lösenordet till utvecklarna av nämnda app?
Ja, med sällsynta undantag. Även i fall där protokollet inte levererar lösenordet direkt till applikationen eller utvecklaren utan istället levererar en autentiseringstoken är potentialen för missbruk och missbruk hög. Även OAuth har sårbarheter "Detta protokoll gör inget försök att verifiera serverns äkthet.".
Är det inte en extremt effektiv metod för att samla in lösenord och en fruktansvärd säkerhetsrisk för användarna?
Ja, även om det är oavsiktligt kan dåligt utformade autentiseringsscheman ge en mängd information för angripare. Även om användarnamnet och lösenordet du använder för en typisk applikation inte är desamma som användarnamnet och lösenordet du använder för viktigare tillgångar, hjälper mönstren du använder angripare att begränsa den värdefulla autentiseringen. Däremot har väldesignade protokoll som OAuth en ljus sida: de minskar antalet par användarnamn och lösenord, liksom antalet dåligt designade och dåligt implementerade autentiseringsgränssnitt.
Men vi måste också titta på OAuth-tjänsteleverantörerna: Google, Yahoo och Facebook. Detta är företag med intresse av att samla in och samla information om användare specifikt för att tjäna pengar på den informationen. Att använda dessa företag som autentiseringsleverantörer är delvis en bisarr förvrängning av förtroende. Du litar på att dessa företag hanterar autentisering av din identitet endast till parter du anger . Även om de har ett motstridigt intresse av att tillhandahålla information om dig med så hög upplösning som möjligt till parter som du inte är medveten om. Deras mest effektiva påstående är att informationen de tillhandahåller om dig till tredje part är anonym. De menar att detta kommer att vara sant trots att de nu vet din identitet och har autentiserat den, potentiellt många gånger. Jag har inte kunnat hitta någon policy som specifikt anger att dessa leverantörer aldrig tillåter att din autentiserade identitet kopplas till andra insamlade. Varningslöshet.
Applikationen i fråga: "nyhetsläserapp för min surfplatta som ansluter till Google Reader"
Syftet med denna applikation är att övervaka kostnadsfritt offentligt tillgängligt onlineinnehåll ( webbplatser och RSS-flöden) för nytt innehåll, för att meddela dig när nytt innehåll upptäcks och för att visa innehållet på begäran. Onlineinnehållet är inte unikt för dig, vilket innebär att du inte behöver identifiera dig för att få informationen.
Uppgifterna som inte står till dig är listan över webbplatser och vilket innehåll du har markerat som inte nytt. Unikhet kräver identitet men inte nödvändigtvis autentisering. Applikationen använder Google Reader, även om den helt enkelt kan implementera sina egna funktioner utan att behöva använda Google Reader. Sannolikt gör applikationen detta för att hålla dina data sammanhängande (synkroniserade). Du vill kunna kontrollera onlineinnehåll från ett antal olika enheter och inte behöver uppdatera ändringar manuellt på en enhet som du har gjort på en annan. Observera att applikationen fortfarande kan synkroniseras med andra enheter utan att använda Google Reader.
Din unika data (webbplatslistor och läsinnehåll) överförs till och från din enhet. Autentisering ger inte sekretess (sekretess). Så autentisering skyddar inte andra från att se dina webbplatslistor och läsinnehåll. Autentisering ger inte integritet, så dina data kan bli skadade eller skadligt modifierade under transport. Vad autentisering ger är ett sätt att kontrollera mottagning och lagring av data. Om informationen kommer från dig måste den vara giltig och därför bör en uppdatering från din nuvarande enhet till alla dina andra enheter accepteras så att dina data hålls synkroniserade.