Короткий пост для тех кто никогда не задумывался о том какие разрешения стоит предоставлять сторонним сервисам при аутитентификации с учетными данными, например, Вконтакте.
В чем тут может быть подвох?
Допустим вы используете Findface для поиска человека по фото, вы авторизуетесь и приложение у вас запрашивает доступ к следующей информации:
Все отлично думаете вы, наверное, доступ к вашим фото нужен чтобы найти другого человека. Довольное странное предположение.
Итак получив токен доступа, владелец сервиса имеет некоторое время на то чтобы скачать все ваши фотографии, особенно из тех альбомов, что помечены так:
"privacy_view": ["only_me"], "privacy_comment": ["only_me"]
Т.е. не только этих:
"privacy_view": ["all"], "privacy_comment": ["all"]
Убедиться в этом вы можете просто выполнив 2 запроса: этот, а затем подставив нужный идентификатор альбома этот — вы успешно расшарили прямые ссылки на фотографии в закрытых альбомах.
Выводы:
- Неопределенные лица получают доступ к вашим самым персональным из персональных данных, причем Вконтакте никак об этом акцентирует
- #TheFappening не за горами, если владелец одного из подобных приложений промышляет подобным
- Перед предоставлением разрешений приложению, автором которого вы не являетесь, подумайте трижды
- Периодически удаляйте доступы предоставленные разрешениям, особенно тем, которым вы предоставили доступ на неограниченное время, чтобы в будущем не случился казус, даже если сейчас ничего критичного в альбоме не храните
- Пример с аналогичными доступами оставлю в качестве домашнего задания
Источник