Pokud jste někdy použili tlačítko "Přihlaste se pomocí Facebooku" nebo pokud máte přístup ke svému účtu Twitter třetím stranám, jste použili OAuth. Používá je také společnosti Google, Microsoft a LinkedIn, stejně jako mnoho dalších poskytovatelů účtů. OAuth vám v podstatě umožňuje udělit přístup k některým informacím o vašem účtu, aniž byste mu dali své skutečné heslo účtu.

OAuth pro přihlášení

OAuth má na webu momentálně dva hlavní účely. Často se používá pro vytváření účtu a pohodlnější přihlášení do služby online. Například místo vytvoření nového uživatelského jména a hesla pro Spotify můžete kliknout nebo klepnout na "Přihlásit se pomocí Facebooku". Služba zjistí, kdo jste na Facebooku a vytvoří pro vás nový účet. Když se do této služby v budoucnu přihlásíte, vidí, že jste přihlášeni se stejným účtem Facebook a dává vám přístup k vašemu účtu. Nemusíte nastavovat nový účet nebo něco - Facebook vás ovšem ověřuje.

To je velmi odlišné od jednoduše poskytnutí služby vašeho hesla účtu Facebook. Služba nikdy neobdrží vaše heslo k účtu Facebook nebo úplný přístup k vašemu účtu. Může zobrazit pouze některé omezené osobní údaje, například vaše jméno a e-mailovou adresu. Nelze zobrazit vaše soukromé zprávy nebo příspěvky na časové ose.

Ty "Přihlaste se pomocí Twitteru", "Přihlaste se pomocí Google", "Přihlaste se společností Microsoft", "Přihlaste se pomocí LinkedIn" a další podobné tlačítka pro jiné webové stránky pracují stejným způsobem jako na

OAuth pro aplikace třetích stran

Služba OAuth se také používá při přístupu aplikací třetích stran k účtům, jako jsou účty Twitter, Facebook, Google nebo Microsoft. Umožňuje těmto aplikacím třetích stran přístup do částí vašeho účtu. Nikdy však nezískají heslo k účtu. Každá aplikace získá jedinečný přístupový token, který omezuje přístup, který má pro váš účet. Například aplikace třetích stran pro Twitter může mít pouze možnost prohlížet vaše tweety, ale neposílat nové tweety. Tento jedinečný přístupový token může být v budoucnu odvolán a pouze určitá aplikace ztratí přístup k vašemu účtu.

Jako další příklad můžete poskytnout aplikaci třetím stranám přístup pouze k e-mailům v Gmailu, ale omezit ji cokoliv jiného s vaším účtem Google.

To je velmi odlišné od toho, že jednoduše dáte aplikaci třetí strany heslo vašeho účtu a necháte jej přihlásit. Aplikace jsou omezeny tím, co mohou dělat, a tento jedinečný přístupový token znamená přístup k účtu může být kdykoli zrušeno bez změny vašeho hlavního hesla a bez odvolání přístupu z jiných aplikací.

Jak funguje OAuth

Pravděpodobně se při každém použití nezobrazí slovo "OAuth". Webové stránky a aplikace vás budou požadovat, abyste se přihlásili ke svému účtu Facebook, Twitter, Google, Microsoft, LinkedIn nebo jinému typu účtu.

Při výběru účtu budete přesměrováni na webové stránky poskytovatele účtu, kde jste budete se muset přihlásit s tímto účtem, pokud nejste přihlášeni. Pokud jste přihlášeni (-a) skvěle! Nemusíte ani zadávat heslo.

SOUVISEJÍCÍ: Co je to HTTPS a proč bych měl pečovat?

Ujistěte se, že jste skutečně směrováni na skutečné Facebook, Twitter, Google, Microsoft, LinkedIn , nebo jakoukoli webovou stránku jiné služby s bezpečným připojením HTTPS před zadáním hesla! Tato část procesu se zdá být zralá pro phishing, protože škodlivé webové stránky by mohly předstírat, že jsou skutečné webové stránky v pokusu o zachycení vašeho hesla.

V závislosti na tom, jak služba funguje, můžete být automaticky přihlášeni s trochou osobní informace, nebo se může zobrazit výzva k tomu, že aplikace bude mít přístup k některému vašemu účtu. Můžete dokonce mít možnost zvolit si, které informace chcete aplikaci zpřístupnit.

Po přidání přístupu k aplikaci je to hotovo. Vaše volitelná služba dává webové stránce nebo aplikaci jedinečný přístupový token. Uchovává token a používá ji k získání přístupu k těmto údajům o vašem účtu v budoucnu. V závislosti na aplikaci se může použít pouze k ověření při přihlašování, nebo k automatickému přístupu k vašemu účtu ak práci na pozadí. Například aplikace třetích stran, která kontroluje váš účet Gmail, může pravidelně přistupovat k vašim e-mailům, aby vám mohla zaslat oznámení, pokud něco zjistí.

Jak zobrazit a zrušit přístup z aplikací třetích stran

SOUVISEJÍCÍ: Zabezpečte své online účty odstraněním přístupu třetích stran k aplikacím

Můžete zobrazit a spravovat seznam webových stránek a aplikací třetích stran, které mají přístup do svého účtu na webových stránkách každého účtu. Je to dobrý nápad, abyste je občas zkontrolovali, jelikož možná jste jednou poskytli přístup k vašim osobním údajům službě, přestali je používat a zapomněli, že služba stále má přístup. Omezení služeb, které mají přístup k vašemu účtu, může pomoci zajistit jeho a vaše soukromá data.

Podrobnější technické informace o implementaci OAuth naleznete na webových stránkách OAuth

Může můj poskytovatel internetových služeb skutečně prodat mé údaje? Jak se mohu chránit?

V poslední době jste možná slyšeli mnoho zpráv o poskytovatelích internetových služeb (ISP), kteří sledují historii prohlížení a prodávají všechna data. Co to znamená a jak se můžete nejlépe chránit? Co se stalo SOUVISEJÍCÍ: Co je čistá neutralita? Tradičně je Federální obchodní komise (FTC) odpovědná za regulaci ISP .

(how-top)

Apple stále věnuje pozornost systému MacOS Security Any?

Nová chyba zabezpečení systému Mac umožňuje zadat doslovně jakékoliv uživatelské jméno a heslo, abyste odemkli panel Mac App Store v System Preferences. Pravděpodobně to není zrovna prakticky řečeno - panel je odemčený ve výchozím nastavení - ale skutečnost, že tento problém vůbec existuje, je znepokojující připomínkou, že Apple neupřednostňuje zabezpečení, jako tomu bylo dříve.

(how-top)