Все чаще в сети можно встретить авторизацию через социальные сети, с помощью которой помня свой логин и пароль в твиттере, контакте, фейсбуке или др, можно пройти авторизацию на стороннем сайте.

С одной стороны это очень здорово, это избавляет от проблемы помнить или хранить множество паролей и логинов для разных сайтов. Такая авторизация порой позволяет упростить регистрацию, т.к. многие данные автоматически берутся из социальной сети, в которой проходила авторизация. Также могут быть какие-то плюшки, вроде автоматического репоста контента в обоих направлениях, если приложению при авторизации были даны соответствующие права.

Вот как раз в этих самых правах и есть весь гвоздь. Например на Хабре (кто не знает — это сайт такой) есть возможность связи своего профиля с соц сетями, что позволит быстро проходить авторизацию через соц сеть. Список разрешений приложению выбирает не пользователь, а разработчик своего приложения, т.е. в данном случае программисты хабра. Для твиттера он у них выглядитк так:

Приложение сможет:

Читать твиты из вашей ленты.
Рекомендовать новых пользователей.
Обновлять ваш профиль.
Публиковать твиты от вашего имени.

Меня лично смущает 2-4 пункты. Я не хочу, чтобы код мог мне добавлять друзей, обновлять мой профиль и уж тем более что-то рассылать от моего имени. Можно найти этому, конечно, здравое объяснение, что это необходимо для работы технических плюшек в виде репоста или автопублкации контента. Но также можно смело утверждать, что именно такие же методы можно использовать для накрутки друзей кому-то за счет таких вот пользователей, которые дали согласие, для публикации рекламных постов у множества таких пользователей.

Не знаю параноик я в этом вопросе, или же в этом есть здравый смысл, но я с опаской отношусь к таким техническим реализациям. Почему просто не дать возможность пользователю выбрать самому список делегированных полномочий приложению, описав для чего это нужно частному приложению. Это было бы более открыто и моя бы лояльность возрасла и доля здравого смысла увеличилась бы.

Прежде чем авторизироватьсчя так вот где попало, два раза подумайте, а зачем приложение просит столько прав и надо ли оно вам.

Прочтите также: