¿Es un problema de privacidad el uso de servicios OAuth2 como Google o Facebook Single Sign-On?

3

Con toda la cobertura del escándalo de Cambridge Analytica, parece que esto no fue una violación de datos, sino que Cambridge Analytica no reveló correctamente cómo utilizarían los datos.

¿Iniciar sesión en un sitio web utilizando un servicio OAuth2 como Facebook o Google es un problema potencial de privacidad ahora?

Siempre pensé que OAuth2 solo proporcionaba un token al sitio web, pero parece que en realidad hay mucha más información que se da.

  • ¿Qué datos proporciona el proveedor de OAuth2 al sitio web?
  • ¿Qué datos obtiene el proveedor de OAuth2 del sitio web? ¿Es Facebook o Google básicamente capaz de rastrear toda su actividad en el sitio web?
pregunta stickman 22.03.2018 - 03:43
fuente

1 respuesta

3

OAuth2 no es intrínsecamente un riesgo de seguridad para un usuario final, es decir, la persona que se autentica en un servicio de terceros usando su cuenta de Google o Facebook (por ejemplo).

OAuth2 funciona en scopes , que definen la naturaleza y la cantidad de datos a los que el servicio de terceros terminará teniendo acceso.

Probablemente esté familiarizado con este tipo de pantalla ( fuente ):

UnaimplementaciónbiendiseñadadeOAuth2expresaráclaramentelosdiversosbitsdeinformaciónquesedivulgaránalserviciodeterceros.

Sinembargo,estorealmentedependedeladefiniciónadecuadadelosámbitosdeOAuth2.Nohayámbitosestándar,porloquevaríandeproveedoraproveedor, como se muestra en este scopes-by-provider lista .

Por lo tanto, el "riesgo externo" se encuentra en su elección del proveedor OAuth2. Es posible implementar OAuth2 de una manera totalmente insegura, y aún así "adherirse" a la especificación OAuth2. ¿Qué sucede si ejecuto un servicio con un solo alcance para toda su información? ¿Qué pasaría si mi descripción de tal alcance en la página de consentimiento fuera engañosa?

Más generalmente, a menudo es una crítica de la especificación OAuth2 que deja elementos críticos para que los implementadores los compensen por sí mismos, lo que lleva a todo tipo de problemas. La página de wikipedia los pulsa brevemente (por favor, siéntete libre de ir por el agujero del conejo y leerlo) ).

Pero esto no hace a OAuth2 intrínsecamente inseguro.

Enfrentando el escándalo actual de Cambridge Analytica: Facebook, por todo lo que se puede hacer contra ellos, ejecuta una implementación confiable de OAuth2 y ha brindado este servicio durante años antes de este evento. Las personas que entregaron su información en la debacle de Cambridge Analytica deben haber hecho clic inicialmente en la pantalla de consentimiento, que debe haber mostrado un elemento sobre la divulgación del círculo de sus amigos, al usar la aplicación de perfiles psicológicos que terminó en la pesca ( no phi shing) para toda esta información. Sin embargo, parece que Facebook tiene al menos ha sido "negligente" al aplicar su política de uso de datos (tome su propia decisión).

Editar: @Ian comentó que es posible que los usuarios de la aplicación Cambridge Analytica no hayan dado su consentimiento explícito para que se extraigan los datos de sus amigos. Supongo que significa que Facebook puede no haber sido sencillo en la descripción de su alcance.

En cuanto a su última pregunta, un proveedor de OAuth2 no puede decir más que cuándo y con qué frecuencia el servicio de terceros accede a la información del ámbito. No puede saber lo que está haciendo con el servicio de terceros o, para el caso, qué está haciendo el servicio con su información. Está (con razón) fuera de sus manos.

  • Más antecedentes sobre OAuth2: enlace
respondido por el korrigan 22.03.2018 - 07:10
fuente

Lea otras preguntas en las etiquetas