使用ifttt背后的巨大风险
- Jack - 月光博客 ifttt,是一个新生的网络服务平台,通过不同其他平台的条件来决定是否执行下一条命令. ifttt基于任务的条件触发,类似编程语言,让用户可以根据他们设计的流程设计一些小程序,让网络服务能够对某些行为作出反应. ifttt 是一项创造性的应用,但是我和我的朋友们必须重视其背后隐藏的风险. this 称为 trigger,而 that 称为 action.
使用ifttt背后的巨大风险
标签:
ifttt
巨大
风险
| 发表时间:2011-07-19 17:38 | 作者:投稿 (guest) Jack
出处:http://www.williamlong.info/
ifttt,是一个新生的网络服务平台,通过不同其他平台的条件来决定是否执行下一条命令。ifttt基于任务的条件触发,类似编程语言,让用户可以根据他们设计的流程设计一些小程序,让网络服务能够对某些行为作出反应。
ifttt 是一项创造性的应用,但是我和我的朋友们必须重视其背后隐藏的风险。
一、什么是 ifttt
如果这样就那样。this 称为 trigger,而 that 称为 action。每条 ifthisthenthat 称为 task。
ifttt 可以实现多种互联网应用的协同工作。(更多关于 ifttt 的介绍请访问其网站或 Google。)
为了实现 ifttt 的功能,ifttt 必须获得授权。
二、什么是授权
授权在此处指允许被授权的第三方应用获得一定的访问你的其它应用的权限。
例如,授权 ifttt访问 Gmail:第三方即 ifttt,而被授权访问的其它应用即 Gmail。
授权主要有 2 种方式:直接授权和 OAuth授权。
1、什么是直接授权
直接授权即直接向第三方提供用户名和密码。
以 eBuddy为例,为了在 eBuddy上使用 Gtalk等,必须直接在 eBuddy上输入用户名和密码。
这种方式的缺点显而易见,第三方在取得授权的同时获得了用户名和密码。
2、什么是 OAuth 授权
OAuth授权避免了将密码提供给第三方的缺陷。
以 Stack Overflow 为例,OAuth授权步骤如下:
1) 用户选择以 Google 账户登录。
2) 用户向 Google提供用户名和密码登录 Google 账户。如果已经登录,则自动跳过本步。
3) 用户查看并接受授权。
4) 登录成功。
3、OAuth 不是银弹
OAuth授权在原始应用中完成,因此第三方应用不会获得密码,然而,第三方应用仍然切实获得了被授予的所有权限。如果第三方应用被攻陷则攻击者也将获得相同的权限。
三、ifttt要求极其巨大的权限
作为参照,Stack Overflow 仅要求获得 Google 账户的电子邮件地址。
事实上,这几乎是 OAuth登录可以要求的最小权限。因为无论如何,若要将你和其他用 Google 账户登录的用户区分开来,必须获得你的Google 账户的唯一标识符,即电子邮件地址。如果 Stack Overflow 被攻陷,攻击者唯一所能获得的就是大量有效的电子邮件地址(可以用于发送垃圾邮件,但也仅此而已)。
ifttt要求 Gmail 的访问权。(从 ifttt可以实现的功能来看,该权限实际上为完全访问权,包括但不限于发送/接收/删除邮件,访问/修改通讯录等。) Google 也作出了更为谨慎的建议,但是对于非专业人员而言还是过于轻描淡写了。
ifttt的 Facebook 授权可以更直观的显示 ifttt 所要求的权限之大。
也就是说,ifttt为了实现与 Gmail 相关的 Task 必须获得 Gmail 的完全访问权限。这意味着如果 ifttt不幸被攻陷则我的 Gmail 账户也将同时沦陷。这意味着我必须将 Gmail 账户的安全从坚不可摧的 Google 转移到 ifttt。
更可怕的是,为了实现 ifttt的协同工作,我必须将我的 Facebook,Twitter,LinkedIn 在内的大量在线账户都交给 ifttt。
鸡蛋现在都在同一个篮子里,而且这个篮子还不一定牢靠。
以 ifttt用户协议中关于自身责任的段落作结。
来源:Dante Jiang投稿
相关文章:
关于我们: 地址 - www.williamlong.info - 谷歌阅读器 - 新浪微博 - 腾讯微博
月光博客投稿信箱:williamlong.info(at)gmail.com
相关 [ifttt 巨大 风险] 推荐:
ifttt的价值
- tiger - 月光博客 ifttt是一款新兴的互联网工具型应用,正如他们给自己的介绍“If This Then That”,让用户可以根据他们设计的流程设计一些小程序,例如你可以让它帮忙监视女朋友的Twitter,当Tweet内容中出现“出差”这个词的时候,自动在Google Calendar里面添加一个晚上的聚会晚餐,并且在Facebook发表一条消息开始呼朋唤友.
ifttt是什么,ifttt能怎么玩?
- daniel - 东西ifttt是一坨网站:ifttt.com. 即If This Then That,你可以在ifttt上设定一个条件,当达到你设定的一个条件时,便触发一个(你指定)动作. 这里的「条件」和「动作」是指开放的互联网服务,比如flickr,twitter,facebook,youtube等. 别问我有没有新浪微博、人人网,优秀且可靠的互联网服务都在国外.
网站推荐:IFTTT(if this then that)
- 小皮球香蕉梨 - 有意思吧这是一个神奇的网站,比某电视上天天放的那个广告要神奇许多. 就像它的域名 ifttt.com 一样,虽然丑却十分个性. 昨天晚上,ifttt.com 在 Twitter 被瞬间引爆,每个被邀请的人都会再拥有5个邀请名额,源源不断的邀请让 Geek 很兴奋. 那么,ifttt 到底是什么呢. 这是一个条件触发网站,当 A 条件触发时,自动激发 B 条件发生.
ifttt是什么,ifttt简明教程,ifttt玩法总结
- felix - iGFW这两天一个网站成了推特中文圈的热门话题——ifttt.com. 如果你需要邀请码,请在下边留言,我会尽快发送邀请. 如果你收到了,记得回来吱一声~. 当然,已经开通的同学也可以在这里分享给别人. ifttt即If This Then That, 你可以在ifttt上设定一个条件,当达到你设定的任意一个条件时,便触发任意一个(你指定)动作.
Qrobot加ifttt等于什么
- Jacky - GeekPark 捕风捉影8月的伊始,备受关注的Qrobot小Q机器人价格谜底终于揭开——首批限量的5000台将于2011年8月4号晚20:00开始对外销售. 在回答这个问题“Qrobot加ifttt等于什么”之前先分别谈谈这两个产品意味着什么. Qrobot,就其本身来说,似乎只是个玩具,看上去不像是一个已经完成的产品. 而且学院味浓了一点,比如为了秀语音识别技术,生造了百科竞答、接唐诗这样的应用场景.
ifttt、GGG与网站图谱
- babyone - cnBeta全文版尽管伯纳斯・李(Tim Berners-Lee)在发明WWW之初,心中就有一个GGG(Giant Global Graph)的宏大梦想,但是直到Google的网页图谱、尤其是Facebook的社交图谱、Twitter的兴趣图谱之后,人们才真正意识到图谱的网络效应魔力. 不过这仍然未及伯纳斯・李的预期,他理想中的GGG是一张数据的图谱、服务的图谱,而不仅仅是网页、人或兴趣.
国内类ifttt服务汇总及ifttt价值浅析
- Erich - 天涯海阁-Web2.0Shareifttt,是一个新生的网络服务平台,通过不同其他平台的条件来决定是否执行下一条命令. 即对网络服务通过其他网络服务作出反应作出反映. ifttt得名为其口号”if this then that”. ifttt基于任务的条件触发,类似编程语言,即:“若XXX进行YYY行为,执行ZZZ. 每一个可以触发或者作为任务的网站叫做一个Channel,触发的条件叫做Triggers,之后执行的任务叫做Actions,综合上面的一套流程叫做Task.
不知道为啥ifttt也能火
- http://groups.google.com/group/dotnet_cn - hUrR DuRrGoogle Plus出来这几天,还有一个很火的就是If This Then That. 不明白啊,ifttt这软件不是第一个,也不是做得最好的,这个邀请泡沫就那么迷人嘛. 几个月前参加beta看了下,ifttt的功能简直弱暴了:. 中心化抓取服务,肯定是延迟超高的瓶颈. 既然是中心化的,被abuse了,然后被各大hosting和ICP封IP也是意料中的.
ifttt 邀请发送 | 小众软件 > 在线应用
- Vernsu - 小众软件这是一个神奇的网站,比某电视上天天放的那个广告要神奇许多. 就像它的域名 ifttt.com 一样,虽然丑却十分个性. 昨天晚上,ifttt.com 在 Twitter 被瞬间引爆,每个被邀请的人都会再拥有5个邀请名额,源源不断的邀请让 Geek 很兴奋. 那么,ifttt 到底是什么呢. 这是一个条件触发网站,当 A 条件触发时,自动激发 B 条件发生.