Как часто пользователи аккаунтов Gmail регистрируются в различных сервисах и разрешают этому приложению доступ к своему почтовому ящику (доступ к Twitter, доступ к Facebook и так далее)? В последнее время это стало обычным делом и считается вполне безопасным способом передать доступ без разглашения конфиденциальной информации. Действительно, в таких случаях используется технология OAuth, так что логин и пароль пользователя не передаются стороннему сервису. Gmail добавил поддержку открытого стандарта OAuth в марте 2010 года, и с тех пор эта технология получила большое распространение.

Но Энди Байо (Andy Baio) из журнала Wired поднял интересную проблему: данный метод стал настолько вездесущим, что многие пользователи уже раздают подобные разрешения направо и налево, совершенно не задумываясь — а кому, собственно. Например, запускается стартап с каким-то интересным предложением (скажем, отписка одним щелчком от всех маркетинговых рассылок). На своём сайте они, разумеется, просят разрешения на безопасный доступ к почтовому ящику. Но на их сайте нет никакой контактной информации, ни имени, ни адреса компании — это обычно для стартапа. Кому мы даём доступ в свой почтовый ящик? Ведь так называемый «стартап» с подобным сервисом могут запустить злоумышленники.

Популярность стандарта OAuth стала такой большой, что он буквально тренирует людей забывать о безопасности. Для интереса, Энди Байо посмотрел свои настройки и ужаснулся: у него оказалось 49 приложений, подключённых к Gmail, 80 к Twitter и более 120 — к Facebook. И он не одинок, некоторые другие пользователи выложили свою статистику: например, у Сэмюеля Коула (Samuel Cole), разработчика Kickstarter, 148 приложений подключено к Twitter. Предприниматель Энил Дэш (Anil Dash) насчитал 88 приложений, подключённых к аккаунту Google и девять — к Gmail.

Но если в случае с Twitter и Facebook пользователю вряд ли грозит какая-то серьёзная угроза, потому что никто не хранит там особо приватных данных, то Gmail — другое дело. Получив разрешение, программа имеет неограниченный доступ к архиву писем пользователя. Среди программ, которые требуют доступа к Gmail, можно перечислить TripIt, Greplin, Rapportive, Xobni, Gist, OtherInbox, Unsubscribe, Backupify, Blippy, Threadsy, Nuevasync, How’s My Email, ToutApp, ifttt, Email Game, Boomerang, Kwaga, Mozilla F1, 0boxer, Taskforce, Cloudmagic и многие другие.

В этом смысле удивительно, что настройки приватности Google по разрешениям для отдельных приложений запрятаны настолько глубоко, даже дальше, чем у Facebook.

Посмотреть список «скрытых шпионов» для своего аккаунта можно на этой странице. Там можно поудалять лишние. Или воспользоваться специализированным сервисом MyPermissions.org, который тоже хорошо проводит чистку сразу во всех аккаунтах.



Оставить мнение