Can apps be trusted when requesting your credentials?
No. Nelle moderne applicazioni e applicazioni web gli utenti sono diventati insensibili alle richieste di nome utente, password e altri dettagli innocui. La comunanza ha portato gli utenti a credere che questi nibblets di informazioni siano utili all'applicazione. Tuttavia, questo è sbagliato. Con rare eccezioni, l'autenticazione non è necessaria per la funzione di applicazione.
In effetti ritengo che l'uso dell'applicazione dell'autenticazione sia dannoso per l'utente. Rende l'autenticazione troppo comune, rendendo gli utenti meno prudenti e attenti nei casi in cui è necessaria l'autenticazione. Struttura lo spazio identitario rendendo più facile per gli attaccanti indovinare la tua identità. Semplifica lo spazio delle chiavi, rendendo più facile per gli aggressori trovare le tue chiavi. Riduce la sicurezza delle operazioni e riduce le pratiche di sicurezza per le risorse con valore.
Isn't this effectively the same as handling the password to the developers of said app?
Sì, con rare eccezioni. Anche nei casi in cui il protocollo non sta consegnando direttamente la password all'applicazione o allo sviluppatore, ma sta invece consegnando un token di autenticazione, il potenziale di abuso e abuso è alto. Anche OAuth ha vulnerabilità "Questo protocollo non tenta di verificare l'autenticità del server." .
Isn't this an extremely efficient method of gathering passwords and a terrible security risk for users?
Sì, anche quando non è intenzionale, schemi di autenticazione mal progettati possono fornire una grande quantità di informazioni per gli aggressori. Anche se il nome utente e la password che utilizzi per un'applicazione tipica non sono gli stessi del nome utente e della password che utilizzi per le risorse più importanti, i pattern che utilizzi aiutano gli aggressori a concentrarsi sulla preziosa autenticazione. Al contrario, i protocolli ben progettati come OAuth hanno un lato positivo: riducono il numero di coppie di nomi utente e password, così come il numero di interfacce di autenticazione mal progettate male.
Tuttavia, dobbiamo anche considerare i fornitori di servizi OAuth: Google, Yahoo e Facebook. Si tratta di aziende con un interesse nel raccogliere e aggregare informazioni sugli utenti specificamente per fare soldi da tali informazioni. L'utilizzo di queste società come fornitori di autenticazione è in parte una bizzarra contorsione di fiducia. Ti stai fidando di queste aziende per gestire l'autenticazione della tua identità solo per le parti che hai specificato . Sebbene abbiano un interesse contrastante nel fornire dati su di te con la massima risoluzione possibile a parti di cui non sei a conoscenza. Il loro reclamo più efficace è che le informazioni che forniscono su di voi a terzi sono anonime. Ritengono che questo sarà vero nonostante il fatto che ora conoscono la tua identità e l'hanno autenticata, potenzialmente molte volte. Non sono stato in grado di trovare alcuna politica che specifichi specificamente che questi provider non permetteranno mai che l'identità autenticata sia connessa ad altri raccolti. Caveat emptor.
L'applicazione in questione: "app newsreader per il mio tablet che si connette a Google Reader"
Lo scopo di questa applicazione è quello di monitorare i contenuti online pubblicamente disponibili a costo zero (siti Web e feed RSS) per i nuovi contenuti, per avvisarti quando vengono rilevati nuovi contenuti e per visualizzare il contenuto su richiesta. Il contenuto online non è unico per te, il che significa che non è necessario identificarsi per ottenere i dati.
I dati che non ti sono pertinenti sono l'elenco dei siti e il contenuto che hai contrassegnato come non nuovo. L'unicità richiede identità ma non necessariamente autenticazione. L'applicazione utilizza Google Reader, sebbene possa semplicemente implementare le proprie funzioni senza la necessità di utilizzare Google Reader. Probabilmente l'applicazione sta facendo questo per mantenere i tuoi dati coerenti (sincronizzati). Vuoi essere in grado di controllare il contenuto online da un certo numero di dispositivi diversi e non è necessario aggiornare manualmente le modifiche su un dispositivo che hai realizzato su un altro. Tieni presente che l'applicazione potrebbe comunque eseguire la sincronizzazione con altri dispositivi senza utilizzare Google Reader.
I tuoi dati unici (elenchi di siti e contenuti di lettura) vengono trasferiti da e verso il tuo dispositivo. L'autenticazione non fornisce riservatezza (privacy). Quindi l'autenticazione non protegge gli altri dal vedere gli elenchi dei siti e i contenuti di lettura. L'autenticazione non garantisce l'integrità, quindi i tuoi dati potrebbero essere danneggiati o modificati maliziosamente durante il trasporto. Quello che l'autenticazione fornisce è un modo per controllare la ricevuta e l'archiviazione dei dati. Se i dati provengono da te, devono essere validi e pertanto è necessario accettare un aggiornamento dal dispositivo corrente a tutti gli altri dispositivi in modo che i dati vengano sincronizzati.