Никогда не задумывался о том какие разрешения стоит предоставлять сторонним сервисам при аутентификации с учетными данными, например, Вконтакте.
В чем тут может быть риск (подвох)?
Представим вы используете Findface для поиска человека по фото, вы авторизуетесь и приложение у вас спрашивает доступ к следующей информации:
Все очень хорошо думаете вы, наверное, доступ к вашим фото нужен чтобы найти другого человека. Довольное странное предположение.
Давайте разберем получив токен доступа, владелец сервиса имеет некоторое время на то чтобы скачать все ваши фотографии, особенно из тех альбомов, что помечены так:
"privacy_view": ["only_me"],
"privacy_comment": ["only_me"]
Т.е. не только этих:
"privacy_view": ["all"],
"privacy_comment": ["all"]
Посмотреть вы можете просто выполнив 2 запроса: этот, а затем подставив нужный идентификатор альбома этот — вы успешно расшарили прямые ссылки на фотографии в закрытых альбомах.
Выводы:
- Неопределенные лица получают доступ к вашим самым персональным из персональных данных, причем Вконтакте никак об этом акцентирует
- #TheFappening не за горами, если собственник одного из подобных программ промышляет подобным
- Перед предоставлением разрешений программ, автором которого вы не являетесь, подумайте трижды
- Периодически удаляйте доступы предоставленные приложениям, особенно тем, которым вы предоставили доступ на неограниченное время, чтобы в будущем не случился казус, даже если сейчас ничего критичного в альбоме не храните
- Пример с аналогичными доступами оставлю в качестве домашнего задания
Понравилась статья? Ставьте лайки (палец вверх). Подписывайтесь на канал.
