כניסה לאתר אחר באמצעות חשבון Google, טוויטר או פייסבוק שלך אינה נוחה רק; זה יותר מאובטח מאשר יצירת חשבון חדש, או הזנת סיסמת Google, טוויטר או פייסבוק לאתר של צד שלישי. זה המקום שבו OAuth נכנס לתמונה. הנה איך זה עובד וכיצד הוא שומר על בטיחות הסיסמאות שלך באתרי צד שלישי.
אֶתמוֹל,אפליקציית טוויטר בשם Tweetgif נפרצה, פרסום מידע משתמש עבור 10,000 חשבונות טוויטר לציבור. עם זאת, שום אישורי טוויטר לא נפגעו, כי Tweetgif השתמש במשהו שנקרא OAuth. אם אי פעם התחברת לאתר אינטרנט של צד שלישי עם חשבון Google, פייסבוק או טוויטר שלך על ידי מתן הרשאת האפליקציה לחשבון המתאים, אז בין אם ידעת זאת ובין אם לא, השתמשת ב-OAuth, וזה נהדר דרך לחלק הרשאות.
איך OAuth עובד
נניח שאתה רוצה להשתמש באפליקציה כמו Tweetgif כדי לפרסם קובצי GIF מצחיקים ומונפשים לחשבון הטוויטר שלך. על מנת לעשות זאת, עליך לתת לאפליקציית Tweetgif גישה לחשבון שלך, כדי שהיא תוכל לקבל את המידע שלך ולפרסם ציוצים בשמך. בימים עברו, היית צריך לתת לאפליקציה כמו Tweetgif את שם המשתמש והסיסמה שלך בטוויטר, כדי שהיא תוכל להיכנס ולגשת לשירותים האלה. לא רק שהיית צריך לסמוך עליהם שישתמשו בתעודות האלה בחוכמה, אלא גם כדי לשמור עליהם מפני האקרים - זו קפיצה די גדולה של אמונה. זה כמו לתת את מפתחות הבית שלך לאדם זר ולסמוך עליו שלא יעשה עותקים לכל החברים שלהם ויגנוב את כל החפצים שלך.
OAuth מעקף את הבעיה הזו רק על ידי מתן גישה לדבריםאַתָהרוצה שהם יגשו. במקום לבקש ממך את הסיסמה שלך, זה קורה:
על מנת להפוך לאפליקציית טוויטר, Tweetgif רכשה שני אסימונים משירות הטוויטר: "מפתח צרכן" ו"סוד צרכני". אלו הם שיוצרים חיבור בין הצרכן (במקרה הזה, Tweetgif) לבין נותן השירות (במקרה הזה, טוויטר).
כאשר אתה מבקר ב-Tweetgif ומבקש ממנו לגשת לחשבון הטוויטר שלך, הוא יפנה אותך בחזרה לטוויטר. אם אתה לא מחובר לטוויטר, אתה נכנס עכשיו (זכור, אתה נותן את שם המשתמש והסיסמה שלך לטוויטר עצמו, לא ל-Tweetgif).
לאחר מכן טוויטר שואל אותך אם אתה רוצה לאשר את האפליקציה הזו, ואומר לך אילו הרשאות היא נותנת לאפליקציה. אולי זה יכול להציג את ציר הזמן שלך, או אולי זה יכול להציג את ציר הזמן שלך ולפרסם בשמך. במקרים מסוימים, ייתכן שאתה נותן לו גישה רק לשם המשתמש והדמות שלך, לשימוש באתרים כמו Lifehacker - זו פשוט דרך קלה ובטוחה יותר להגיב מבלי ליצור חשבון. כאשר אתה לוחץ על כפתור "הרשאה", הוא יוצר "אסימון גישה" ו"סוד אסימון גישה". אלו הן כמו סיסמאות, אבל הן מאפשרות רק ל-Tweetgif לגשת לחשבון שלך ולעשות את הדברים שאיפשרת לו לעשות.
כך, במקום לתת את המפתחות לכל הבית שלכם, נתתם מפתח מיוחד שפותח רק את החדר האחד שאליו אתם רוצים שהם ייגשו. אבל, כדי להשתמש במפתח הזה, הם צריכים ללכת להביא אותו מהשומר, והוא יכול לקחת אותו מהם בכל עת.
אז האם עליך להשתמש ב-OAuth?
אז למה זה יותר טוב מאשר רק להזין את האישורים שלך בטוויטר? ברור שזה מונע מאפליקציות צד שלישי לעשות דברים מפוקפקים שאתה לא רוצה שהם יעשו, אבל חשוב מכך, זה אומר שגם אם הם ייפרצו - כמו ש-Tweetgif היה אתמול - הסיסמה שלך בטוויטר עדיין בטוחה. ההאקרים עדיין יוכלו לפרסם בשמך, לעקוב אחר אנשים או לעשות כל דבר אחר שנתת ל-Tweetgif לעשות, אבל כל מה שאתה צריך לעשות הוא ללכת להגדרות הטוויטר שלך ולבטל את הגישה לאפליקציה הזו. בדרך זו, האסימונים שלך הופכים חסרי תועלת והחשבון שלך שוב בשליטתך, אפילו מבלי שתצטרך לשנות את הסיסמה שלך.
החיסרון הגדול של הטרנד החדש הזה הוא שאתרים מסוימים עשויים לאפשר לך להיכנס באמצעות פייסבוק או טוויטר וינסו לפרסם בפרופיל שלך, גם אם זה לא באמת.הֶכְרֵחִי. חלק מהאתרים, כמוTurntable.fmנגן מוזיקה, אל תאפשר לך פשוט ליצור חשבון - הם גורמים לך להתחבר עם פייסבוק או טוויטר. זה נוח, מכיוון שאתה לא צריך ליצור חשבון, אבל אז הוא מנסה לפרסם בפרופיל שלך על מה שאתה עושה באתר שלהם. באופן דומה,גוגל לא באמת אומרת לך אילו הרשאות אתה נותןכאשר אתה משתמש ב-OAuth. כדי למנוע בעיות, הקפד לקרוא את מדיניות הפרטיות של כל אפליקציה שאתה מקשר, ואם אתה יכול, שימו לב להרשאות שכל אפליקציה ניתנת. אם הוא עושה משהו שאתה לא רוצה שהוא יעשה, פשוט אל תשתמש באפליקציה. או לחילופין, בדוק אם יש לו אפשרות לבטל את ה"פיצ'ר" הזה בהגדרות האפליקציה (פטיפון, למשל, מאפשר לכבות את הפוסטים בקיר בפייסבוק בהגדרות שלו לאחר הכניסה). וכמו תמיד, הקפד לגזום באופן קבוע את האפליקציות המורשות שלך כדי לא להיתקל בצרות - אם לא השתמשת באחת מהן במשך זמן מה, כנראה שעדיף לך להיפטר ממנה לחלוטין.
