Як працює авторизація через соцмережі. Механіка, безпеку, юридичний аспект. Читайте на Cossa.ru

  1. Як працює авторизація через соцмережі. Механіка, безпеку, юридичний аспект Логін через соціальні...
  2. Що бере сайт і навіщо
  3. Навіщо це власникам сайтів
  4. Збереження даних і відповідальність сторін
  5. Соціальна мережа
  6. власник сайту
  7. Розробник
  8. провайдер
  9. Юридична сторона
  10. замість висновку
  11. Як працює авторизація через соцмережі. Механіка, безпеку, юридичний аспект
  12. Як це працює
  13. Що бере сайт і навіщо
  14. Навіщо це власникам сайтів
  15. Збереження даних і відповідальність сторін
  16. Соціальна мережа
  17. власник сайту
  18. Розробник
  19. провайдер
  20. Юридична сторона
  21. замість висновку

Як працює авторизація через соцмережі. Механіка, безпеку, юридичний аспект

Логін через соціальні мережі на будь-якому ресурсі - це швидкість і простота. Але ви замислювалися, яку саме інформацію бере сайт з вашого профілю, для чого, як захищає її від сторонніх?

Як це працює

1. Ви натискаєте на іконку соціальної мережі на сайті.

2. Вас перекидає в закрите додаток соцмережі, яке створив розробник сайту. Воно пропускає інформацію вибірково, з безліччю нюансів і захистів. Фактично це скоріше двері або шлюз, ніж повноцінне додаток. У нього неможливо потрапити і максимум, що можна побачити - «заглушку».

3. Видимою частиною програми є «поп-ап» спливаюче вікно з написом «Продовжити як (ім'я)» або «Дозволити».

4. Натискаєте, і соціальна мережа посилає сайту ключ доступу. Каже, що ви згодні дати ці дані.

5. Сайт обробляє цей запит і відправляє новий до соціальної мережі, де вже бере те, що хоче, підтверджуючи дію надісланим вище ключем.

Заглушка на закритому додатку «ВКонтакте»

Видима частина закритого додатки


«Зворотний бік» сайту виглядає приблизно так. Це крихітна частина великого коду. Функція нижче відповідає за обробку відповіді провайдера. Той самий момент, коли ви вперше підтвердили згоду на вхід через соціальну мережу і натиснули «Продовжити як (ім'я)». Після першого і одиничного підтвердження з боку користувача працює кожен раз автоматично.

Функція обробки відповіді від провайдера

Що бере сайт і навіщо

Дані, які беруться з профілю, прописуються в закритій частині сайту, але саме значення параметрів, потенційно використовуваних в коді, можна знайти на офіційних сторінках соціальних мереж. І ці ж параметри можна побачити в адресному рядку в момент відкриття вікна «Увійти через соціальну мережу».

За замовчуванням в збір включаються загальні дані профілю - public_profile. У коді і адресному рядку це прописується через параметр scope, що включає в себе «публічний профіль». Набір даних, що входить в цей «публічний профіль», у всіх соцмереж різний. наприклад, на Facebook в нього входять: айди, обкладинка, нік, ім'я, прізвище, віковий діапазон, посилання на сторінку, підлогу, місцезнаходження, фотографія, тимчасова зона, останнє оновлення сторінки і саме підтвердження.

Інші дані запитуються окремо, від них користувач може відмовитися, прибравши відповідні галочки. Наприклад, доступ до відео користувача user_videos:

Наприклад, доступ до відео користувача user_videos:

Для ряду параметрів потрібна додаткова перевірка з боку соціальної мережі при запиті на ці дані. Детальніше про них та інші дозволи при роботі з Facebook можна знайти на сайті Facebook for Developers . Альтернативні списки існують для кожної соціальної мережі на офіційних сторінках з інформацією - ось як це виглядає у « ВКонтакте »І« Одноклассініках ».

Навіщо це власникам сайтів

Бувають очевидні причини установки такої авторизації на сайт: наприклад, інтернет-магазини, в яких не придбаєш річ без зазначення персональних даних. Але для інших майданчиків користувачі, які вибирають соціальну авторизацію, означають зростаючий потік конверсії. Таким чином, маркетолог отримує доступ до величезної бази інформації користувача, яку при звичайній реєстрації вивудити складно (наприклад, рідне місто і інтереси людини). Потім за допомогою цих даних власник сайту може запропонувати людині найбільш підходящу рекламу, товари і так далі.

Яку інформацію може взяти сайт з різних соціальних мереж. джерело: CXL

джерело:   CXL

Ігор Іванов

Керівник студії пошукового маркетингу Semantica

Збереження даних і відповідальність сторін

Відповідальність за збереження персональних даних лежить на чотирьох сторонах: розробник сайту, власник сайту, соціальна мережа і провайдер.

Соціальна мережа

У Facebook є окрема сторінка з поясненням процесу запиту і контролю з боку користувача. Без додаткової перевірки сайт може запросити тільки публічний профіль, пошту і список друзів. Тут досить згоди користувача. За іншими запитами додаток перевіряють фахівці з боку соціальної мережі, щоб переконатися в коректності використання даних .

власник сайту

Сумлінні власники сайтів складають документ, що регламентує використання персональних даних, відповідальності сторін і збереження інформації - «політику конфіденційності». Для прикладу ми рандомно відкрили один з популярних сайтів. При вході через Facebook сайт повідомляє наступне (тут і далі «Х» - назва компанії):

«Додаток Х отримає: загальнодоступний профіль і адреса ел. пошти. Ваш загальнодоступний профіль включає ім'я, фото профілю, віковий діапазон, стать, мову, країну та іншу загальнодоступну інформацію ».

«Інша загальнодоступна інформація» звучить розмито і настораживающе, вірно? Вище ми розкрили секрет цієї небезпечної «води», але чи стане пояснювати власник, що він бере?

Вище ми розкрили секрет цієї небезпечної «води», але чи стане пояснювати власник, що він бере

Пробуємо знайти відповідь, що це за інформація і навіщо вона потрібна в «політиці конфіденційності»:

«Реєстрація - сукупність дій Користувача відповідно до зазначених на Х інструкціями, включаючи надання облікових даних та іншої інформації, що здійснюються Користувачем з використанням спеціальної форми користувальницького інтерфейсу Х з метою формування Особистого кабінету і отримання доступу до окремих Сервісів Х.

У процесі користування Сервісами Х (в тому числі при Реєстрації, взаємодії з іншими Користувачами через інтерфейс Х, розміщенні Зараз оголошень, перегляду веб-сторінок Х і т. П.), Користувач самостійно і добровільно приймає рішення про надання Х або розміщенні у відкритому доступі персональних та інших відомостей про Користувача (прізвище, ім'я, по батькові або псевдонім Користувача, адреса електронної пошти, номер мобільного телефону, а також будь-яка інша інформація, надана Користувачем ...) Х вживає всіх необхідних заходів для захисту і и персональних даних Користувача від несанкціонованого доступу третіх осіб ».

Відповіді на запитання «які дані беруться» не видно, тільки загальні слова про «інший світ» інформації. Документ не дає ні чітких пояснень, яку інформацію візьме сайт з вашого профілю, ні 100% гарантії збереження даних.

Розробник

Важлива складова backend-розробки - обмежити доступ третіх осіб до закритої частини сайту. Великі компанії додатково наймають фахівців вузького профілю для аудиту безпеки сайта: перевірки діючої захисту і її удосконалення.

провайдер

У випадку з провайдером все впирається в розшифровку потоку даних, які проходять через нього. Тут можна надовго зануритися в оновлені федеральні закони і так і не зрозуміти, має будь-хто право розшифрувати, збирати і використовувати ці дані чи ні.

Юридична сторона

До теми авторизації через соціальні мережі щільно підходить питання про зміну закону «Про персональні дані». Про обов'язкову кнопці згоди на збір, зберігання і обробку даних, і про митих формулюваннях «політики конфіденційності».

Про обов'язкову кнопці згоди на збір, зберігання і обробку даних, і про митих формулюваннях «політики конфіденційності»

Павло Міщенко

Юрист і співзасновник Runetlex

замість висновку

Думка редакції може не збігатися з думкою автора. Ваші статті надсилайте нам на [email protected] . А наші вимоги до них - ось тут .

Як працює авторизація через соцмережі. Механіка, безпеку, юридичний аспект

Логін через соціальні мережі на будь-якому ресурсі - це швидкість і простота. Але ви замислювалися, яку саме інформацію бере сайт з вашого профілю, для чого, як захищає її від сторонніх?

Як це працює

1. Ви натискаєте на іконку соціальної мережі на сайті.

2. Вас перекидає в закрите додаток соцмережі, яке створив розробник сайту. Воно пропускає інформацію вибірково, з безліччю нюансів і захистів. Фактично це скоріше двері або шлюз, ніж повноцінне додаток. У нього неможливо потрапити і максимум, що можна побачити - «заглушку».

3. Видимою частиною програми є «поп-ап» спливаюче вікно з написом «Продовжити як (ім'я)» або «Дозволити».

4. Натискаєте, і соціальна мережа посилає сайту ключ доступу. Каже, що ви згодні дати ці дані.

5. Сайт обробляє цей запит і відправляє новий до соціальної мережі, де вже бере те, що хоче, підтверджуючи дію надісланим вище ключем.

Заглушка на закритому додатку «ВКонтакте»

Видима частина закритого додатки


«Зворотний бік» сайту виглядає приблизно так. Це крихітна частина великого коду. Функція нижче відповідає за обробку відповіді провайдера. Той самий момент, коли ви вперше підтвердили згоду на вхід через соціальну мережу і натиснули «Продовжити як (ім'я)». Після першого і одиничного підтвердження з боку користувача працює кожен раз автоматично.

Функція обробки відповіді від провайдера

Що бере сайт і навіщо

Дані, які беруться з профілю, прописуються в закритій частині сайту, але саме значення параметрів, потенційно використовуваних в коді, можна знайти на офіційних сторінках соціальних мереж. І ці ж параметри можна побачити в адресному рядку в момент відкриття вікна «Увійти через соціальну мережу».

За замовчуванням в збір включаються загальні дані профілю - public_profile. У коді і адресному рядку це прописується через параметр scope, що включає в себе «публічний профіль». Набір даних, що входить в цей «публічний профіль», у всіх соцмереж різний. наприклад, на Facebook в нього входять: айди, обкладинка, нік, ім'я, прізвище, віковий діапазон, посилання на сторінку, підлогу, місцезнаходження, фотографія, тимчасова зона, останнє оновлення сторінки і саме підтвердження.

Інші дані запитуються окремо, від них користувач може відмовитися, прибравши відповідні галочки. Наприклад, доступ до відео користувача user_videos:

Наприклад, доступ до відео користувача user_videos:

Для ряду параметрів потрібна додаткова перевірка з боку соціальної мережі при запиті на ці дані. Детальніше про них та інші дозволи при роботі з Facebook можна знайти на сайті Facebook for Developers . Альтернативні списки існують для кожної соціальної мережі на офіційних сторінках з інформацією - ось як це виглядає у « ВКонтакте »І« Одноклассініках ».

Навіщо це власникам сайтів

Бувають очевидні причини установки такої авторизації на сайт: наприклад, інтернет-магазини, в яких не придбаєш річ без зазначення персональних даних. Але для інших майданчиків користувачі, які вибирають соціальну авторизацію, означають зростаючий потік конверсії. Таким чином, маркетолог отримує доступ до величезної бази інформації користувача, яку при звичайній реєстрації вивудити складно (наприклад, рідне місто і інтереси людини). Потім за допомогою цих даних власник сайту може запропонувати людині найбільш підходящу рекламу, товари і так далі.

Яку інформацію може взяти сайт з різних соціальних мереж. джерело: CXL

джерело:   CXL

Ігор Іванов

Керівник студії пошукового маркетингу Semantica

Збереження даних і відповідальність сторін

Відповідальність за збереження персональних даних лежить на чотирьох сторонах: розробник сайту, власник сайту, соціальна мережа і провайдер.

Соціальна мережа

У Facebook є окрема сторінка з поясненням процесу запиту і контролю з боку користувача. Без додаткової перевірки сайт може запросити тільки публічний профіль, пошту і список друзів. Тут досить згоди користувача. За іншими запитами додаток перевіряють фахівці з боку соціальної мережі, щоб переконатися в коректності використання даних .

власник сайту

Сумлінні власники сайтів складають документ, що регламентує використання персональних даних, відповідальності сторін і збереження інформації - «політику конфіденційності». Для прикладу ми рандомно відкрили один з популярних сайтів. При вході через Facebook сайт повідомляє наступне (тут і далі «Х» - назва компанії):

«Додаток Х отримає: загальнодоступний профіль і адреса ел. пошти. Ваш загальнодоступний профіль включає ім'я, фото профілю, віковий діапазон, стать, мову, країну та іншу загальнодоступну інформацію ».

«Інша загальнодоступна інформація» звучить розмито і настораживающе, вірно? Вище ми розкрили секрет цієї небезпечної «води», але чи стане пояснювати власник, що він бере?

Вище ми розкрили секрет цієї небезпечної «води», але чи стане пояснювати власник, що він бере

Пробуємо знайти відповідь, що це за інформація і навіщо вона потрібна в «політиці конфіденційності»:

«Реєстрація - сукупність дій Користувача відповідно до зазначених на Х інструкціями, включаючи надання облікових даних та іншої інформації, що здійснюються Користувачем з використанням спеціальної форми користувальницького інтерфейсу Х з метою формування Особистого кабінету і отримання доступу до окремих Сервісів Х.

У процесі користування Сервісами Х (в тому числі при Реєстрації, взаємодії з іншими Користувачами через інтерфейс Х, розміщенні Зараз оголошень, перегляду веб-сторінок Х і т. П.), Користувач самостійно і добровільно приймає рішення про надання Х або розміщенні у відкритому доступі персональних та інших відомостей про Користувача (прізвище, ім'я, по батькові або псевдонім Користувача, адреса електронної пошти, номер мобільного телефону, а також будь-яка інша інформація, надана Користувачем ...) Х вживає всіх необхідних заходів для захисту і и персональних даних Користувача від несанкціонованого доступу третіх осіб ».

Відповіді на запитання «які дані беруться» не видно, тільки загальні слова про «інший світ» інформації. Документ не дає ні чітких пояснень, яку інформацію візьме сайт з вашого профілю, ні 100% гарантії збереження даних.

Розробник

Важлива складова backend-розробки - обмежити доступ третіх осіб до закритої частини сайту. Великі компанії додатково наймають фахівців вузького профілю для аудиту безпеки сайта: перевірки діючої захисту і її удосконалення.

провайдер

У випадку з провайдером все впирається в розшифровку потоку даних, які проходять через нього. Тут можна надовго зануритися в оновлені федеральні закони і так і не зрозуміти, має будь-хто право розшифрувати, збирати і використовувати ці дані чи ні.

Юридична сторона

До теми авторизації через соціальні мережі щільно підходить питання про зміну закону «Про персональні дані». Про обов'язкову кнопці згоди на збір, зберігання і обробку даних, і про митих формулюваннях «політики конфіденційності».

Про обов'язкову кнопці згоди на збір, зберігання і обробку даних, і про митих формулюваннях «політики конфіденційності»

Павло Міщенко

Юрист і співзасновник Runetlex

замість висновку

Думка редакції може не збігатися з думкою автора. Ваші статті надсилайте нам на [email protected] . А наші вимоги до них - ось тут .

Але ви замислювалися, яку саме інформацію бере сайт з вашого профілю, для чого, як захищає її від сторонніх?
«Інша загальнодоступна інформація» звучить розмито і настораживающе, вірно?
Вище ми розкрили секрет цієї небезпечної «води», але чи стане пояснювати власник, що він бере?
Але ви замислювалися, яку саме інформацію бере сайт з вашого профілю, для чого, як захищає її від сторонніх?
«Інша загальнодоступна інформація» звучить розмито і настораживающе, вірно?
Вище ми розкрили секрет цієї небезпечної «води», але чи стане пояснювати власник, що він бере?