Cambiare la mia password dopo l'accesso OAuth nell'app mobile aiuta a ridurre i rischi?

Question

Cambiare la mia password dopo l'accesso OAuth nell'app mobile aiuta a ridurre i rischi?

#1 da (1 voti)
#2 da (1 voti)

4

Quando usi un'app mobile che richiede l'accesso a Google OAuth, non ti puoi fidare completamente dell'app di terze parti perché non puoi sapere quale URL sta usando la webview. Chissà se non stanno memorizzando il mio nome utente e la password sul loro server, quindi lo passiamo a Google OAuth.

Cambiare la password immediatamente dopo il login OAuth aiuta a ridurre un po 'il rischio? Se ho capito bene, la terza parte avrebbe comunque il proprio token per l'accesso limitato alle API, ma almeno non la password principale per il mio account Google (anche se lo stanno memorizzando in modo errato).

Su una nota correlata: su Android, non ho dovuto effettuare nuovamente il login per OAuth per un'app di terze parti, potevo semplicemente selezionare l'account Google che era già registrato sul telefono. Ma su iOS, le app di terze parti che utilizzavo richiedevano un accesso a Google OAuth tramite webview. È possibile che le app iOS abbiano l'OAuth "integrato" senza accesso?

oauth ios android

posta wisbucky 20.01.2015 - 17:54

fonte

2 risposte

Leggi altre domande sui tag oauth ios android

MS08_067 con Metasploit [chiuso] Sicurezza nel modello Access Control Matrix e Take-Grant

score 1 · Answer 1

No. quando un'applicazione utilizza e di identità di Google API (per includere OAuth e < a href="https://developers.google.com/+/web/signin/"> Accesso Google+ ) l'applicazione riceve un token da Google che indica che sei tu. Quindi l'applicazione ti registra.

UnodeiprincipalivantaggidiscaricarelagestionedellapasswordsuGoogleèchel'applicazionenondevememorizzarelapassword(notacheinnessunpuntodeldiagrammasoprariportatol'applicazionericevelapassword).

Sedecididinonpermettereadun'applicazionediaccederealtuoprofilo,puoisemplicemente revocare l'accesso e il token è invalidato.

Generalmente con tutti i metodi di gestione degli ID, l'applicazione può ottenere principalmente informazioni di base su di te. Ecco una fonte su ciò che l'applicazione può richiedere per l'accesso a Google+.

score 1 · Answer 2

No, non puoi farlo legalmente. Se vuoi essere sicuro, puoi usare un analizzatore di pacchetti come Wireshark. Oppure puoi anche utilizzare lo strumento Antivirus / Privacy o i rilevatori di phishing. Puoi controllare il codice dell'applicazione. Infine, puoi anche spegnere Internet per vedere il messaggio di errore e confermare quale link non può essere caricato (o se carica senza errori, può essere un problema. Forse cache, quindi riprova dopo aver ripristinato i dati)

Questo è tutto ciò che so per ora. Forse c'è di più, come app specializzate per controllare che i pacchetti stiano andando nel posto giusto o qualcos'altro. Le cose nuove continuano sempre ad arrivare.