OAuth - Facebook和co获取数据的另一种方式?
OAuth - Facebook和co获取数据的另一种方式?
提问于 2018-11-06 17:08:43
当我在facebook (或google等)上使用OAuth作为授权服务器时,授权服务器将获得一些关于应用程序/客户端的数据(请求授权)。因此,授权服务器(例如facebook)现在知道我在使用该应用程序。这不是隐私问题吗?OAuth授权服务器是否应该有一份隐私声明(隐私声明中的/somewhere),说明他们如何使用信息(关于我使用的应用程序)?或者它们不通过OAuth永久存储有关授权请求的信息?
回答 1
Stack Overflow用户
发布于 2018-11-06 18:11:08
是的,这确实是一次数据泄露,尤其是Facebook滥用数据。我对此进行了测试:我使用“注册Facebook”注册了一个网站,内容完全超出了我通常的兴趣,然后没有浏览这个网站(即登录是他们拥有的唯一信息)。不到一天,我就开始在我的Facebook feed上看到关于这个话题的广告。
没有办法确保三条腿的OAuth (这就是“社交登录”)不会泄露数据。保单提供了一些保证,但受欢迎的提供商滥用的历史如此之长,以至于无论他们说什么,都不能信任他们。对于这个问题只有一个解决方案:,不要使用它。这已经到了我积极避免那些甚至提供隐私的网站的地步,因为这意味着网站本身没有充分了解隐私,无法意识到他们在做什么。在GDPR审计中,我将此标记为潜在的隐私暴露。
作为一个开发人员,使用OAuth也是非常不愉快的,而且非常容易出错,这也无济于事。Id & pass with 2FA是我首选的auth方法。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/53168754
复制相关文章
相似问题
腾讯云开发者
