Короткий пост для тех кто никогда не задумывался о том какие разрешения стоит предоставлять сторонним сервисам при аутентификации с учетными данными, например, Вконтакте.

В чем тут может быть подвох?

Допустим вы используете Findface для поиска человека по фото, вы авторизуетесь и приложение у вас запрашивает доступ к следующей информации:



Все отлично думаете вы, наверное, доступ к вашим фото нужен чтобы найти другого человека. Довольное странное предположение.

Итак получив токен доступа, владелец сервиса имеет некоторое время на то чтобы скачать все ваши фотографии, особенно из тех альбомов, что помечены так:

"privacy_view": ["only_me"],
"privacy_comment": ["only_me"]

Т.е. не только этих:

"privacy_view": ["all"],
"privacy_comment": ["all"]

Убедиться в этом вы можете просто выполнив 2 запроса: этот, а затем подставив нужный идентификатор альбома этот — вы успешно расшарили прямые ссылки на фотографии в закрытых альбомах.

Выводы:

  1. Неопределенные лица получают доступ к вашим самым персональным из персональных данных, причем Вконтакте никак об этом акцентирует
  2. #TheFappening не за горами, если владелец одного из подобных приложений промышляет подобным
  3. Перед предоставлением разрешений приложению, автором которого вы не являетесь, подумайте трижды
  4. Периодически удаляйте доступы предоставленные приложениям, особенно тем, которым вы предоставили доступ на неограниченное время, чтобы в будущем не случился казус, даже если сейчас ничего критичного в альбоме не храните
  5. Пример с аналогичными доступами оставлю в качестве домашнего задания

Комментарии (47)


  1. vitaliy2
    23.04.2018 20:18
    -1

    Фишка в том, что ты можешь захотеть, к примеру, делать в приложении какие-то действия с приватными альбомами. Если доступа не будет, то тогда кроме того, что есть на vk.com, пользователь уже сделать ничего не сможет, что может быть неприятно.

    Тут подошло бы дополнительное окно с опцией «Разрешить доступ к приватным альбомам», которое будет выводиться после клика в самом приложении на «Разрешить доступ к приватным альбомам».


  1. reactt
    23.04.2018 20:33

    он же пишет, доступ к фотографиям, ясно и понятно


    1. x67
      23.04.2018 22:03

      По умолчанию подразумеваются условно публичные Фото, например для отображения аватарки. Никто и подумать не может, что вк так щедро раздает длступ ко всем фотографиям, к которым в ином случае человек потратил бы бОльшее время для шеринга


    1. devalone
      24.04.2018 05:22

      По такой же логике можно дать и доступ к фотографиям, отправленным в личной переписке. Не ну а чо? Фотографии же!


      1. Protos
        24.04.2018 07:49

        Хм, вроде для этого нужно запросить разрешение на доступ к сообщениям, разве нет? Это последний пункт моих выводов.


  1. Thero
    23.04.2018 21:40

    цукеберг.жпг


  1. VVizard
    24.04.2018 00:25
    +1

    Если то что вы написали правда то спасибо вам за статью.
    Посмотрел, у меня 90% приложений имеют доступ к фотографиям.
    Я так же как и x67 считал что приложениям доступны только общедоступные фото.

    Хорошо что я в принципе не доверяю ВК никакой приватной информации но большинство даже не подозревают о таком поведении.


    1. AllexIn
      24.04.2018 08:47

      Если не секрет — зачем вообще пользоваться приложениями в ВК?


      1. Protos
        24.04.2018 09:13

        Например, одно из моих приложений позволяет сканировать группы и искать по комментариям потенциальных клиентов. Или это был риторический вопрос?


        1. AllexIn
          24.04.2018 09:14

          Вы с личного аккаунта это делаете?


          1. Protos
            24.04.2018 09:43

            Приложение мое, поэтому ответ — да. За годы годы не забанили ни разу. Единственное урезали количество запросов wall.get, но наверное это всем урезали. Каждый пользователь программы под своим личным/отдельным аккаунтом пользуется программой.


        1. VVizard
          24.04.2018 10:25

          Жена активно пользуется всякими открытками и прочим.
          Вообще странный вопрос, давайте тогда спросим зачем вообще пользоваться ВК? Есть электронная почта для общения вполне.

          Если говорить обо мне то у меня стояла пара игр жанра TD, несколько приложений связанных с музыкой, 3 приложения в стиле «Угадай мелодию», Кроссворды.
          Причем абсолютно у всех приложений было разрешение на доступ к фотографиям.

          Заводить для этого второй аккаунт смысла нет, проще не размещать на основном какую то важную информацию.


      1. thisiscookie
        24.04.2018 09:13

        Так они вроде как используются при авторизации через ВК на сайтах и считаются приложениями


      1. river-fall
        24.04.2018 13:19

        если вы где-то авторизуетесь через VK, OAuth доступ работает через приложения


  1. Evengard
    24.04.2018 01:09

    Я могу понять если домохозяйки так считали. Но здесь-то вроде гики сидят. Предоставление доступа к фотографиям в этом пункте = «предоставление доступа к API, оперирующего вашими фотографиями от вашего имени». А оперировать можно вполне и приватными фотографиями таким образом.

    А вот насчёт зачистки неиспользуемых приложений — это правильный совет. Странно, что они сами не стухают через некоторое время.

    Ну и как социалочкам, так и приложениям Андроида (правда со вторым с последними версиями Андроида стало лучше, теперь хотя бы самые важные разрешения запрашивает каждый по отдельности… Хоть и, увы, нельзя некоторые спорные таки вырубить) не хватает возможности отказаться от некоторых разрешений, требуемыми этими самыми приложениями.


    1. Mnemone
      24.04.2018 07:00

      Да тут даже гиком не надо быть что бы это понимать. Зачем приложению запрашивать какое либо разрешение к итак уже публичным фотографиям? Остаются только приватные.


      1. Protos
        24.04.2018 07:45

        Дело в том что вы можете запретить конкретному пользователю или вообще анонимному доступ к вашим фотографиям в разделе Конфиденциальность своего аккаунта, согласно документации на API, при вызове через API требуется передать Сервисный или пользовательский ключ (токен). Поэтому приложения его и запрашивают. Иными словами неанонимно к фотографиям вроде как не обратиться через API, ну а через браузер парсить тысячи фото тысяч пользователей не получится.


    1. vitaliy2
      24.04.2018 09:48

      Странно, что они сами не стухают через некоторое время.
      Приложения имеют доступ только при заходе в течение нескольких дней с Вашего IP (это почти то же самое, что «пока приложение открыто»). А сайты могут иметь дольше.


      1. Protos
        24.04.2018 10:01

        Для этого при авторизации приложения запрашивают специальное разрешение "Доступ в любое время", это нужно для софта который постоянно что то делает для вас под вашей учётной записью либо чтобы актуализировать какую-либо информацию к которой у приложения есть доступ.


        1. vitaliy2
          24.04.2018 10:21

          Да, я и говорю о том, что сайты могут иметь дольше (пока не запретите).

          Ещё есть standalone — там практически всегда запрашивается без ограничений по времени (но можно и с ограничением — тут разработчик решает). PS. Standalone-приложения — это приложения, скачиваемые на Ваш компьютер или телефон, например, из Play Market.


    1. VVizard
      24.04.2018 10:33

      Я как Гик почитал документацию по API и официальный FAQ по приватности.
      Нигде даже намека нет на то что через API доступны приватные фотографии:
      vk.com/faq8389

      Вот представьте что вы читаете форум на котором общаются пишевые технологи, и один из них пишет что-то типа:
      «Коллеги, вы используете в своем производстве добавку Е*** но она же приводит к образованию рака и запрещена для использования в европе».
      На что ему отвечают: «Ты как профессионал должен знать что продукты с Е*** не нужно покупать? Зачем ты их покупаешь?»

      Я считаю что любой профессионал в своей области должен иметь и какую то социальную ответственность, сегодня ты поможешь юристу завтра юрист поможет тебе, это путь к здоровому обществу.

      Именно поэтому на мой взгляд позиция: «Профессионалы это знают, а если кто то не знает то сам виноват» для меня неприемлема.


    1. VVizard
      24.04.2018 10:41

      Вот например, приложение из топа:
      vk.com/apps?act=popular&w=app1699855

      Установлено у 3 700 000 участников, требует доступ к фото.

      vk.com/apps?act=popular&w=app4333086
      Установлено у 6 400 000
      Тоже требует фото.

      Да покажите мне хоть одну игру из топа которая не требует доступ к фото.

      Вы как профессионал считаете что так и должно быть? И что большая часть из 6,4 млн людей сознательно дали этому приложению доступ к своим приватным фотографиям?

      Я все еще надеюсь что Protos что то перепутал и все не так просто как он описал.


  1. sumanai
    24.04.2018 01:59
    +2

    Еще раз о приватности в Вконтакте

    Её нет.


  1. tyderh
    24.04.2018 04:01

    Да это вообще жесть: недавно проходил авторизацию WiFi, и она хотела доступ к моим фотографиям. Я, конечно, вконтакте вообще ничего не храню, но масштабы ужасают.


  1. Sabubu
    24.04.2018 05:20

    Я бы советовал завести отдельный аккаунт и заходить в него из отдельного браузера, если вам хочется пользоваться приложениями (а лучше вообще не вносить свои настоящие данные в соцсети). Эта особенность файндфейс давно известна, чтобы делать поиск, надо сначала дать доступ к своим фото. О чем вам и написано синим по белому.

    В соцсети всегда лучше заходить из отдельного браузера, так как иначе, когда вы ходите по сайтам, расположенные на них трекеры, кнопки лайков, виджеты комментариев и тд запоминают, куда вы заходили.


    1. polearnik
      24.04.2018 10:12

      ghostery и ublock разве не спасают от подобного поведения?


      1. Protos
        24.04.2018 10:34

        Скорее да чем нет, по факту они вообще имеют полный доступ к содержимому страниц. Но наверное им больше можно доверять нежеле "Васе Пупкину".


        1. sumanai
          24.04.2018 11:03

          По крайней мере uBlock Origin имеет открытый код и не навязывает свои списки. У ghostery вроде тоже есть репозиторий.


          1. Protos
            24.04.2018 11:08

            Ну если браузер позволят проверить исходный код, тогда ок, я просто не в курсе


            1. sumanai
              24.04.2018 11:26

              Не браузер, нужно самому компилировать подписывать и ставить. Или иногда просто сверять собственноручно скомпилированную версию с версией в магазине, и поднимать вой при расхождениях.


              1. nikolayv81
                24.04.2018 21:34

                С повторяемостью сборок не везде хорошо, регулярно появляются новости о проектах призванных обеспечить "повторяемость" наверное не просто ради интереса.


      1. nikolayv81
        24.04.2018 21:29

        В такой постановке осень интересно может звучать другой вопрос:
        А в какой момент ваши данные будет использовать uBlock и в каких целях?
        Увы, но кроме доверия, никаких гарантий. Многие пользователи ставя на телефон приложения даже не смотрят на разрешения, вот на днях приложение от Лего boost запросило достаточно п к телефонным звонками и идентификацию звонящих, спрашивается зачем? :)


      1. Sabubu
        25.04.2018 08:06

        Их надо правильно настроить. Где гарантия, что вы не пропустите какую-нибудь куки или AJAX-запрос?


        1. sumanai
          25.04.2018 09:28

          Против соцсетей есть подписки, вроде даже в стандартной поставке uBlock, достаточно галочку отметить.


  1. antonksa
    24.04.2018 05:23

    Давно уже понятно, что использовать социальные сети, а уж тем более вконтач, это как сидеть в биотуалете на оживленной улице с открытой дверью.
    Я во всех соцсетях имею просто профиль, пару фоток и стараюсь ни с кем там не переписываться.


    1. Gerh
      24.04.2018 08:45

      Тоже не понимаю этого соцсетевого эксгибиционизма. Зачем хранить в соцсетях хоть сколько-нибудь значимую информацию, когда есть миллион других более надёжных хранилищ?


      1. VVizard
        24.04.2018 11:08

        «Зачем хранить в соцсетях хоть сколько-нибудь значимую информацию, когда есть миллион других более надёжных хранилищ?»

        В контакте 97 000 000 человек. Как вы думаете какой % из них знает что такое «хранилище»?

        Возможно я ошибаюсь, не претендую на какую то объективность, читая комментарии меня не покидает ощущение небольшого налета снобизма в большинстве из них.
        Есть избранные гуру которые все знают и понимают, и немного свысока и «с непониманием» смотрят на остальных людей.

        Вы уверены что у вашей мамы или сестры или будущей жены(с которой вы не познакомились еще) нет закрытых альбомов с фотографиями которые они бы не хотели отдавать всем подряд?

        А может ваши друзья хранят фото с вами (например с выпускного) в закрытом альбоме?


        1. Gerh
          24.04.2018 13:29

          4 из 4 неудачных примера, купите лотерейный билет. По теме — я считаю, что человек должен интересоваться окружающим его миром и постоянно поддерживать уровень своих знаний в адекватном состоянии. Если он ленится, неспособен или по каким-то другим причинам этого не делает, то возникающие в таком случае проблемы не являются объективными недостатками реальности, а всего лишь упущение этого конкретного человека. Как, например, кариес. Никто же не обвиняет микробы, что они разрушают зубы?


    1. cyberly
      24.04.2018 08:49

      >> имею просто профиль, пару фоток и стараюсь ни с кем там не переписываться

      … но поскольку в тех социальных сетях эту мою позицию никто не замечает (что логично, по причине отсутствия друзей/подписок), а рассказать о ней хочется, то я напишу об этом в еще одной (почти) социальной сети.


      1. Gerh
        24.04.2018 08:53

        С друзьями надо в реальной жизни дружить, а не в соцсетях.


        1. cyberly
          24.04.2018 08:56

          «Друзья» — в терминологии социальных сетей. То что в LinkedIn называется «connection», ЕМНИП.


  1. achekalin
    24.04.2018 09:50

    На телефоне недавно увидел предустановленное приложение «Погода», которое отказывалось показывать прогноз погоды, пока ему не давали доступ к «местоположению» (что разумно), и «контактам» (что странно).


    1. Protos
      24.04.2018 10:03

      Доступ к местоположению разве ВКонтакте запрашивает, может это системное разрешение операционной системы устройства? В любому случае я сам указываю нужный мне город обычно, хотя для путешественников это не удобно.


  1. Kanut79
    24.04.2018 11:13

    На самом деле вся эта ситуация с приватностью в социальных сетях, напоминает мне Воннегута с его 14-м томом сочинений Боконона. Потому что этот 14-й том отвечает и на вопрос существует ли приватность в социальных сетях. И, как писал классик: "Прочесть Четырнадцатый том недолго. Он состоит всего из одного слова и точки: «Нет». "


    1. sumanai
      24.04.2018 11:28

      Чёрт, а я не нарушил копирайт на эту книгу своим сообщением выше? У меня правда чуть расширенная версия.


  1. river-fall
    24.04.2018 13:20

    Спасибо за напоминание, почистил список от ненужного