En betjent nøkkel for identiteten din

Etter hvert som nettjenester som bruker personopplysninger øker, blir det mer vanlig at brukere trenger å overføre data fra en tjeneste til en annen. Dette krever ofte at brukere utleverer brukernavn og passord, til tross for de åpenbare sikkerhetsrisikoene. Et nytt åpen kildekode-prosjekt kalt OAuth , utgitt tidligere denne måneden, er ment å løse dette problemet ved å la brukere gi tjenester en betjent nøkkel til identiteten deres, i stedet for full tilgang.





Token-tilgang: Nettjenester kan bruke OAuth til å dele sensitive data uten å tvinge en bruker til å gi full tilgang til identiteten hennes. Diagrammet ovenfor kartlegger flyten av forespørsler når tjenestene ber om data og autorisasjon fra hverandre.

Chris Messina , som hjalp til med å organisere produksjonen av OAuth, sier at systemet vil gi folk kontroll over måten de megler dataene sine på gjennom webtjenester, og også hjelpe dem med å være litt sikrere. Systemet lar en bruker få et token gjennom ett nettsted og sende det til et annet. Tokenet dikterer deretter hva det andre nettstedet har tilgang til, og på hvilken måte. For å oppnå dette må protokollen definere standardmåter for nettsteder for å identifisere data og spesifisere hva de skal gjøre med dem. For å fungere krever OAuth at begge nettstedene har implementert protokollen. Brukeren trenger ikke å være klar over det.

Sammen med Messina, Blaine Cook fra Twitter og Larry Halff av Magnolia jobbet med å starte prosjektet.



Overlevering av brukernavn og passord er et stadig vanligere trekk på sosiale nettverkssider, inkludert kjente sider som f.eks. Facebook og LinkedIn . I den første registreringsfasen ber et nettsted brukeren om å skrive inn legitimasjonen for e-postkontoene hennes, slik at den kan søke etter personer hun kanskje kjenner. Det er også typisk for nettsteder å gi brukere en mulighet til å invitere sine eksisterende kontakter til å bli med i nettverket også. Men Messina sier at det er et annet, utilsiktet resultat av praksisen: Det er å trene brukeren til å formidle brukernavn og passord som konfetti, sier han.

Multimedia

  • Se hvordan OAuth fungerer.

De var Hammer-Lahav , som fungerte som redaktør for kjernen OAuth-spesifikasjonen, sier at en advarende historie kom tidligere i år da et nettsted for sosialt nettverk kalte Quechup brukte sin tilgang til e-postkontoer gjennom denne funksjonen til å sende invitasjoner til hver enkelt person i en ny brukers kontaktliste. Enda verre, for mange mennesker så det ut til at e-postene stammet fra brukeren, snarere enn fra selskapet. Hammer-Lahav sier at advarselen er mindre rettet mot et bestemt sted enn mot et system som trenger forbedring. Kjernen handler egentlig om det vi kaller kjærlighetstrekanten, sier han. Kjærlighetstriangelet, forklarer han, er forholdet mellom brukeren og de to nettjenestene som trenger å dele data.

Han legger til at det nå begynner å bli vanlig for økonomistyringssider som Som å be om passord for å samle informasjon for brukere. I tillegg til å utgjøre en sikkerhetsrisiko, sier Hammer-Lahav, er det faktisk ikke den beste måten for nettsteder å dele informasjon på. Aggregernettstedene må ofte skrape finansiell informasjon fra banksider ved å trene programvaren deres til å søke visse ledetråder i sidekilden som signaliserer viktige data. Problemet, sier han, er at hvis banken redesigner utseendet til en side, kan disse ledetrådene endre seg, noe som gjør at aggregatoren ikke kan lese informasjonen. Et system som OAuth, sier Hammer-Lahav, lar nettstedene dele informasjon direkte.



Tanken om denne typen system er ikke ny, sier Terrell Russell , medgründer av det elektroniske identitetsstyringssystemet Krav-ID . Google , for eksempel, har en eksisterende proprietær protokoll som har egenskaper som ligner på OAuth. Men, sier Russell, mangelen på en enkelt standard hemmer utviklere og oppfordrer dem til å be om brukernavn og passord. Russell sier at å løse problemet med å la webtjenester dele data på en sikker måte vil bare bli viktigere ettersom flere data migrerer til nettet.

OAuth blir implementert av Twitter og Magnolia, og deler av standarden vises i Googles OpenSocial plattform. Selv om den første utgivelsen er en kjerneprotokoll som inneholder det grunnleggende om utveksling av tokens mellom nettsteder, sier Hammer-Lahav at senere utgivelser vil gi brukerne bedre kontroll over hvordan de gir tilgang til dataene deres.

gjemme seg