程式開發者談Facebook上的授權以及帳號被盜的觀念

編者註:當你在Facebook上按需要授權的app時,有注意過會拿到你什麼樣的權限以及所代表的意義嗎?撰寫這篇文章的作者王景弘花了不少的時間,以所作的Facebook 廣告社團檢查器」為例,用淺顯的文字來說明相關的觀念。希望大家對於這方面有個清楚的概念,不要疏忽應該要擔心的或是對於某項授權又太過於擔心。因此經過作者同意將全文轉引過來。底下文章的引用,在不影響原意下只有做簡單的編輯,以方便閱讀

 

有關 spam group 的授權( http://spamgroup.tonyq.org ,就是指Facebook 廣告社團檢查器)

雖然當初取「取得授權」,是希望使用者知道自己在幹麼沒錯,我可以把按鈕改名叫「登入」或「檢查」,然後我可以保證使用者看到對話框也不會想太多就點下去。

因為我另一個幫前公司開發的 app 就是這樣幹,事實上大家都這樣幹,你仔細去檢查你 apps 的權限,應該會有很多發現,然後很多人在點同意沒在怕的。

騙 user 乖乖同意很簡單,但我就是想用「取得授權」這個詞,讓你知道你真的在授權我這個 app 作一些事情,我覺得這真的是你應該要知道的。

===========================

但我看到有些人擔心會被盜帳號就不敢授權,這又有點過頭,所以我覺得該講清楚,這篇文章是要來講講「取得授權」是怎麼一回事,你該擔心什麼又不用擔心什麼。

(當然,我是 app 開發者,你可以不相信我講的話、不信任我,那你可以來證明我說的是錯的,或許我的確是錯的,我們歡迎踢館。:p)

 

首先你一定要張大眼睛看清楚按下去後的那個畫面,特別是底下箭頭標示的兩個地方:

 這裡有告訴你,這隻 app 會取得三個資訊,

@ 你的個人資料 (驚)

這聽起來有點模糊,你可以看看底下這張圖片,FB 已經詳細說明了:

 

@ 那可以不取得這個資料嗎?

很抱歉,不行。因為這是預設一定會被拿到的,只要你要作任何 fb 操作,就一定會需要這個,我這隻 app 也需要你朋友的清單(因為要幫朋友檢查),所以我需要取得這權限。

 

@ 那取得個人資料後,可以拿來賣錢嗎?

基本上根據 FB 的規則,我必須在隱私權政策(圖裡面的另一個箭頭)裡面寫清楚資料用途,否則如果我濫用你的資料且你能舉證,我會被告。

但是,這個 app 你只能選擇相信我,不然就是不爽不要用。XD

那有沒有人會拿個資去賣呢,根據我在業界的見歷,的確是有,而且一個個資視完整度從 1 塊到 60 塊不等。

我自己是很不爽有這種事情,但這種事情存在是個事實。

我只能用良心跟你說我不會這麼幹,因為我自己也很討厭浪費我時間的垃圾電話跟廣告,所以我絕對不會去幫助這些人幹這種事,

但在使用 app 時,這的確是個你該考慮的風險,所以你一定要好好看清楚授權跟隱私權政策。

(然後,你要決定你要不要相信這個 app 。)

像是有些號稱分析你的 FB 資料告訴你是啥個性,但結果看起來根本只是來亂的,卻要你發婊動態、資料存取的各種強力權限,我還蠻佩服有人按同意按得下去的。

 

@ 取得朋友清單跟資料?那你可以取得我的"所有"資料(生日、地址、電話)跟傳訊給我的朋友嗎?

有關個資你沒有設定為公開的話,我就拿不到,事實上就這個權限來講我連你的註冊 email 都拿不到。

如果我需要那些權限,你會看到他出現在清單上,這裡有一些權限清單,但是我知道不是寫程式的人應該不會看、看不懂。

https://developers.facebook.com/docs/reference/login/

如果你對任何 app 取得的權限有疑問又信得過我,可以來問我。

 

另外這是 readonly 的權限,能修改得部份會需要另一個權限(會有管理相關字樣),至於能不能傳訊給你的朋友,答案是不行,那不是這個權限被授權的事情。

 

@ 那你能不能登入我的帳號?

答案也是不行,我只能透過 api 查詢你的資料,我不會知道你的密碼、不會知道你的帳號,FB 會給我一段識別碼(稱之為 access_token 的東西),這個識別碼包含權限資訊,每個 app 都不一樣。

然後它跟你的密碼一點關係也沒有,所以理論上不可能因為授權而被登帳號。

(但你如果有授權一個 app 發文,則他的確可能在你不在的情況下幫你發文,只要還在授權期間。)

 

 @ 那什麼是「你的社團」?

這裡指的是你加入的社團清單、你在社團裡面的發文、你在社團裡面做的動態,但是是「僅供讀取」。要管理或幫你發表社團裡面的動態 ex. 幫你邀請朋友 ...etc ,那個權限(manage_group) 現在疑似沒開,這有在 FB有被報 bug (FB bug 一堆,別奇怪),也是我為什麼不能在程式裡面寫自動退出社團的理由。

 

@ 那什麼是「朋友的社團」?

你朋友的社團清單與相關資料,沒有經過你同意、確認我不能取得,一樣是僅供讀取。

--------------------------------

就這隻 app ,你該擔心的事情是:

1.你公開的資料有機會會被取得、轉賣。(但請注意,你公開的資料意味著即使你沒登入,其他人大多也拿得到。)

  如果你想知道你公開多少資料,可以點這連結,裡面是別人授權後可以拿到的。

  https://developers.facebook.com/tools/explorer/?method=GET&path=me

 

2.你可能會洩露你加入哪些社團

如果你加入了一些不能被其他人知道的社團(怎麼覺得有點害羞),這可能會讓你很困擾。

 

3.你可能會洩露你朋友加入了哪些"公開"社團

(秘密跟非公開社團除非你跟他同社團,不然你在 api 的權限是不會知道他有加入的。)

  這個資料有沒有價值,請自行判斷。

 

4.這個網站安全性沒寫好被人家攻破(ex. XSS 攻擊等),而讓別人取得這些權限

  這是有可能的,就跟你在其他網站註冊的會員密碼也可能因為被破解而被知道一樣,你授權給我的權限,也要小心可能被因為這樣而拿去亂來的可能性。

  (題外話,所以請網站開發負責人記得密碼要多層加密,使用者也請盡量不要多個網站共用同一個密碼,特別是扯到錢的。 延伸閱讀:我的密碼沒加密網站  http://plainpass.com/  )

 但是你給我的權限,即使被攻破,取得這些資料對他們有沒有意義,你可以自己斟酌,當然道義上我可以告訴你的是我們都有小心檢查這些漏洞跟問題,並且把這件事情看得很重。

-------------

在這隻 app 你不用擔心的事情:

1.被用來傳訊息問你朋友要不要買點卡,然後看到訊息一堆「你聽過安麗嗎」:因為沒權限。

2.被亂加入社團、被亂退出社團:因為沒權限

3.會被盜帳號:我根本沒有機會知道你密碼,也不能登入。

 (只靠 access_token 作查詢跟做事是不用登入的。)

================================

另外我很高興看到有些朋友有注意到我們有取消授權這個按鈕,

而這顆按鈕按下去真的會幫你取消授權,你在一般的 app 可能很難看到這顆按鈕 ,因為一般的 app 不會假設你只用一次,而我假設你只該用一次。

或者換句話說,我希望你每次來的時候,都能注意到你又授權我一次,

而你也會知道,在你取消授權之後我就沒權限去存取你的資料。

你也比較不會在某天不知道因為什麼理由看到應用程式 tab 時(如下連結),發現你幾年前授權了這個 app 但一直沒有取消、好像也沒啥用到。

https://www.facebook.com/settings?tab=applications

我希望大家能真的注意到你授權一個 app 什麼,然後能知道你有什麼選擇,擔心你真的該擔心的事情。

(附註,因為我們一直在踢到 api request 上限,所以我們現在實際上設定了三個 app 隨機切換, 所以你如果有看到三個名字長很像的 app 的話,這是我們不得已的暫時作法,在此說明之。)

========================

同場加映、安全觀念,facebook 被盜帳號,你知道很多人是因為上那些大陸論壇、甚至是一些台灣的網站,使用跟 facebook 一樣的 email、帳號、密碼,然後那些網站本身安全性作很爛,甚至是那些網站本身就是居心不良的,所以你就被盜帳號嗎?

你知道很有些網站根本安全性防護跟裸體沒什麼兩樣嗎?

這跟他們的會員人數沒有關係,有很多大網站也是出過包,安全性防護本身就是一個需要多方涉獵、高度技術參與的一個主題,還有專門的人在研究這個當飯吃。

網路世界是充滿壞人的,但你至少可以選擇不要所有服務都共用同一組帳號密碼,不然就請抱著被盜帳號也無所謂的心情囉。這還只是第一道最最基本的關卡。

我希望藉著這篇文章作一個拋磚引玉,我們可以來聊聊更多其實你應該要知道的事情。

 


 

↓↓↓↓↓↓加入癮科技粉絲團,有更多歡樂有趣的科技新聞↓↓↓↓↓↓

 

 

0則回應

Facebook增加台灣在內地區測試Messenger新相機、限時動態功能 Facebook增加台灣在內地區測試Messenger新相機、限時動態功能 4 天前
Facebook打造電視專屬App 對抗YouTube霸權 Facebook打造電視專屬App 對抗YouTube霸權 4 天前
搶情人節市場,先創宣布在台推出新增美顏功能的 DJI Osmo Mobile 銀色時尚款 搶情人節市場,先創宣布在台推出新增美顏功能的 DJI Osmo Mobile 銀色時尚款 6 天前
科技廠商執行長隨扈保安費用 Facebook為Intel的66倍 科技廠商執行長隨扈保安費用 Facebook為Intel的66倍 9 天前
Facebook打造即時救援物資交流平台 藉由社群力量協助救災 Facebook打造即時救援物資交流平台 藉由社群力量協助救災 10 天前
乏人問津? Facebook撤下200處虛擬實境展示體驗區 乏人問津? Facebook撤下200處虛擬實境展示體驗區 10 天前
說文解字第3課:區塊鏈 Blockchain 說文解字第3課:區塊鏈 Blockchain 11 天前
Facebook計畫打造機上盒專屬App 用影片進軍電視廣告市場 Facebook計畫打造機上盒專屬App 用影片進軍電視廣告市場 18 天前

熱門文章

最新消息