¿El cambio de mi contraseña después del inicio de sesión de OAuth en la aplicación móvil ayuda a reducir el riesgo?

4

Cuando usa una aplicación móvil que necesita un inicio de sesión de Google OAuth, no puede confiar completamente en la aplicación de terceros porque no puede saber qué URL está usando la vista web. Quién sabe si no están almacenando mi nombre de usuario y contraseña en su servidor y luego pasándolos a Google OAuth.

¿Cambiar la contraseña inmediatamente después del inicio de sesión de OAuth ayuda a reducir el riesgo? Si lo comprendo correctamente, el tercero aún tendrá su token de acceso limitado a la API, pero al menos no la contraseña maestra de mi cuenta de Google (incluso si la están almacenando de manera incorrecta).

En una nota relacionada: en Android, no tuve que volver a iniciar sesión en OAuth para una aplicación de terceros, solo podía seleccionar la cuenta de Google que ya estaba registrada en el teléfono. Pero en iOS, las aplicaciones de terceros que utilicé requerían un inicio de sesión de Google OAuth a través de la vista web. ¿Es posible que las aplicaciones de iOS tengan el OAuth "integrado" sin iniciar sesión?

    
pregunta wisbucky 20.01.2015 - 17:54
fuente

2 respuestas

1

No. Cuando una aplicación utiliza y de las API de identidad de Google (para incluir OAuth y < a href="https://developers.google.com/+/web/signin/"> Google+ Iniciar sesión ) la aplicación recibe un token de Google que indica que eres tú. Entonces la aplicación te registra.

UnodelosprincipalesbeneficiosdedescargarlaadministracióndecontraseñasaGoogleesquelaaplicaciónnotienequealmacenarsucontraseña(observequeenningúnpuntodeldiagramaanteriorlaaplicaciónrecibesucontraseña).

Sidecidenopermitirelaccesodeunaaplicaciónasuperfil,simplementepuede revocar el acceso y el token es invalidado

En general, con todos los métodos de administración de ID, la aplicación puede obtener información básica sobre usted. Aquí hay una fuente sobre lo que la aplicación puede solicitar para el inicio de sesión en Google+.

    
respondido por el KDEx 29.04.2015 - 04:41
fuente
1

No, no puedes hacer eso legalmente. Si quiere estar seguro, puede usar un analizador de paquetes como Wireshark. O también puede usar la herramienta Anti-virus / Privacidad o los detectores de Phishing. Puedes consultar el código de aplicación. Por fin, también puede apagar su Internet para ver el mensaje de error y confirmar qué enlace no se pudo cargar (o si se carga sin errores, eso puede ser un problema. Tal vez caché, así que intente nuevamente después de restablecer los datos)

Eso es todo lo que sé por ahora. Tal vez haya más, como las aplicaciones especializadas para comprobar que sus paquetes van al lugar correcto o algo más. Siempre vienen cosas nuevas.

    
respondido por el Jatin Nagpal 29.05.2015 - 09:35
fuente

Lea otras preguntas en las etiquetas