青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 电信屏蔽Godaddy部分DNS服务也谈Google+的"圈子" »

使用ifttt背后的巨大风险

  ifttt,是一个新生的网络服务平台,通过不同其他平台的条件来决定是否执行下一条命令。ifttt基于任务的条件触发,类似编程语言,让用户可以根据他们设计的流程设计一些小程序,让网络服务能够对某些行为作出反应。

  ifttt 是一项创造性的应用,但是我和我的朋友们必须重视其背后隐藏的风险。

使用ifttt背后的巨大风险

  一、什么是 ifttt

使用ifttt背后的巨大风险

  如果这样就那样。this 称为 trigger,而 that 称为 action。每条 ifthisthenthat 称为 task。

  ifttt 可以实现多种互联网应用的协同工作。(更多关于 ifttt 的介绍请访问其网站或 Google。)

  为了实现 ifttt 的功能,ifttt 必须获得授权。

  二、什么是授权

  授权在此处指允许被授权的第三方应用获得一定的访问你的其它应用的权限。

  例如,授权 ifttt访问 Gmail:第三方即 ifttt,而被授权访问的其它应用即 Gmail。

  授权主要有 2 种方式:直接授权和 OAuth授权。

  1、什么是直接授权

  直接授权即直接向第三方提供用户名和密码。

  以 eBuddy为例,为了在 eBuddy上使用 Gtalk等,必须直接在 eBuddy上输入用户名和密码。

使用ifttt背后的巨大风险

  这种方式的缺点显而易见,第三方在取得授权的同时获得了用户名和密码。

  2、什么是 OAuth 授权

  OAuth授权避免了将密码提供给第三方的缺陷。

  以 Stack Overflow 为例,OAuth授权步骤如下:

  1) 用户选择以 Google 账户登录。

使用ifttt背后的巨大风险

  2) 用户向 Google提供用户名和密码登录 Google 账户。如果已经登录,则自动跳过本步。

使用ifttt背后的巨大风险

  3) 用户查看并接受授权。

使用ifttt背后的巨大风险

  4) 登录成功。

使用ifttt背后的巨大风险

  3、OAuth 不是银弹

  OAuth授权在原始应用中完成,因此第三方应用不会获得密码,然而,第三方应用仍然切实获得了被授予的所有权限。如果第三方应用被攻陷则攻击者也将获得相同的权限。

  三、ifttt要求极其巨大的权限

  作为参照,Stack Overflow 仅要求获得 Google 账户的电子邮件地址。

使用ifttt背后的巨大风险

  事实上,这几乎是 OAuth登录可以要求的最小权限。因为无论如何,若要将你和其他用 Google 账户登录的用户区分开来,必须获得你的Google 账户的唯一标识符,即电子邮件地址。如果 Stack Overflow 被攻陷,攻击者唯一所能获得的就是大量有效的电子邮件地址(可以用于发送垃圾邮件,但也仅此而已)。

  ifttt要求 Gmail 的访问权。(从 ifttt可以实现的功能来看,该权限实际上为完全访问权,包括但不限于发送/接收/删除邮件,访问/修改通讯录等。) Google 也作出了更为谨慎的建议,但是对于非专业人员而言还是过于轻描淡写了。

使用ifttt背后的巨大风险

  ifttt的 Facebook 授权可以更直观的显示 ifttt 所要求的权限之大。

使用ifttt背后的巨大风险

  也就是说,ifttt为了实现与 Gmail 相关的 Task 必须获得 Gmail 的完全访问权限。这意味着如果 ifttt不幸被攻陷则我的 Gmail 账户也将同时沦陷。这意味着我必须将 Gmail 账户的安全从坚不可摧的 Google 转移到 ifttt。

  更可怕的是,为了实现 ifttt的协同工作,我必须将我的 Facebook,Twitter,LinkedIn 在内的大量在线账户都交给 ifttt。

  鸡蛋现在都在同一个篮子里,而且这个篮子还不一定牢靠。

  以 ifttt用户协议中关于自身责任的段落作结。

使用ifttt背后的巨大风险

  来源:Dante Jiang投稿



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/2743.html
  • 文章排行:
  • 2.anyone
  • 最好的方式还是本地(或者是在自己的域名空间)搭建这种ifthat的应用。然后通过脚本共享的方式进行分享。
  • 2011/7/19 18:17:02   支持(9)反对(5) 回复
  • 3.sindarusco
  • ifttt~ 确实有风险啊……
  • 2011/7/20 10:03:32   支持(7)反对(3) 回复
  • 4.bush
  • 最近的文章不給力呀,一般都是:提出問題->分析->……最後總結陳詞沒了~
  • 2011/7/19 22:14:24   支持(6)反对(4) 回复
  • 5.吸血鬼日记
  • 在别的博客上看过类似的。。文章
  • 2011/7/20 14:15:29   支持(5)反对(3) 回复
  • 8.huayi2
  • 不能因为有猪肉精就不吃猪肉了
  • 2011/7/23 10:23:38   支持(5)反对(4) 回复
  • 9.南乙
  • 木桶效应 最短的板决定能装的水量
    现在ifttt就是帐号安全的那个短板
  • 2011/8/21 17:34:45   支持(4)反对(3) 回复
  • 10.否何
  • 还是ifttt啊
    还没有做好呢
    我是沙发哦
  • 2011/7/19 17:49:12   支持(4)反对(4) 回复
  • 11.千姿百袋
  • 概念产品吗,这个不会太适合用户吧
  • 2011/7/19 18:32:38   支持(5)反对(5) 回复
  • 13.一休哥哥网
  • 没体验过,不做评价!
  • 2011/7/19 21:31:29   支持(7)反对(7) 回复
  • 14.邦道之家
  • 楼上的说的好像有点暴力!
  • 2011/7/19 23:47:06   支持(5)反对(5) 回复
  • 17.校园博客
  • 是不是基于什么云计算的服务?
  • 2011/7/20 9:14:53   支持(4)反对(4) 回复
  • 18.AQ
  • 今天我看了月光博客是博客中的第一名
    白洋淀旅游 于 2011-7-22 12:40:20 回复
    月光国内当之无愧是第一名。
  • 2011/7/20 14:54:45   支持(2)反对(2) 回复
  • 19.路过
  • 也就是说,ifttt为了实现与 Gmail 相关的 Task 必须获得 Gmail 的完全访问权限。这意味着如果 ifttt不幸被攻陷则我的 Gmail 账户也将同时沦陷。
    =============
    其实授权方面你还没完全理解,虽然ifttt有关于A账户完全访问gmail的权限,但是前提是,这个A账户登录了,但是ifttt不保存这个A账户密码信息,即使被攻陷了,A在GOOGLE的账户如何会沦陷,顶多让黑客知道A把gmail的完全访问权限授予ifttt
    Zx.MYS 于 2011-7-20 17:18:48 回复
    #30
    黑客攻陷ifttt后以ifttt的身份即可获得完全访问的权限
  • 2011/7/20 16:50:05   支持(6)反对(6) 回复
  • 20.testif
  • #30
    我同意30楼的说法,能访问GMAIL,首先是要本地登陆的。
  • 2011/7/21 12:22:29   支持(6)反对(6) 回复
  • 21.一树小草
  • 或许ifttt支持的那些网站可以为ifttt设计一些专用的api可以避免这些问题。
  • 2011/7/29 21:39:36   支持(3)反对(3) 回复
  • 22.土木坛子
  • 产品是不错,但如果离用户太远了,也注定不会成功。ifttt正是如此。玩的都是一个概念。
  • 2011/7/19 18:11:07   支持(4)反对(5) 回复
  • 24.惯于逆风
  • 很多新东西,都是国外的,国内都是复制……
  • 2011/7/19 20:02:50   支持(2)反对(3) 回复
  • 25.惯于逆风
  • 很多东西都是国外先发明的……
  • 2011/7/19 20:03:34   支持(1)反对(2) 回复
  • 27.观澜
  • 全新平台,如果觉得好大家快复制过来这个伟大的国家啊。
  • 2011/7/19 19:48:15   支持(4)反对(6) 回复
  • 28.wjtimes
  • 对某国很有用,估计某国会立即有山寨版或对ifttt发起攻击。Google太强大,攻击的风险也大。
  • 2011/7/20 7:17:38   支持(3)反对(5) 回复
  • 30.艺术照
  • 不错啊!!
    不过想要个邀请码
  • 2011/7/22 9:05:18   支持(4)反对(6) 回复
  • 31.喜咩
  • 说的不错。ifttt为了实现与 Gmail 相关的 Task 必须获得 Gmail 的完全访问权限。这意味着如果 ifttt不幸被攻陷则我的 Gmail 账户也将同时沦陷。这意味着我必须将 Gmail 账户的安全从坚不可摧的 Google 转移到 ifttt
  • 2011/7/22 15:55:51   支持(5)反对(7) 回复
  • 36.安东尼罗宾
  • 没太明白是个什么 怎么用啊
  • 2011/7/20 1:02:53   支持(5)反对(8) 回复
  • 37.Enzo
  • 我是来求邀请码的……跪求邀请码!……
  • 2011/7/21 12:04:53   支持(3)反对(6) 回复
  • 38.limeixi
  • 搞不懂 太复制了,还是只应用好了
  • 2011/8/13 16:10:29   支持(2)反对(7) 回复
  • 39.plat001
  • IFTTT的山寨版已经有了,如果就ruguojiu,做得还不错的哦,很喜欢
  • 2011/7/26 16:34:29   支持(3)反对(10) 回复
  • 40.国产PLC
  • 没用过。现在概念太多了。接收不了这么多。
  • 2011/7/20 14:31:30   支持(2)反对(10) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.