В чем тут может быть подвох?
Допустим вы используете Findface для поиска человека по фото, вы авторизуетесь и приложение у вас запрашивает доступ к следующей информации:
Все отлично думаете вы, наверное, доступ к вашим фото нужен чтобы найти другого человека. Довольное странное предположение.
Итак получив токен доступа, владелец сервиса имеет некоторое время на то чтобы скачать все ваши фотографии, особенно из тех альбомов, что помечены так:
"privacy_view": ["only_me"],
"privacy_comment": ["only_me"]Т.е. не только этих:
"privacy_view": ["all"],
"privacy_comment": ["all"]Убедиться в этом вы можете просто выполнив 2 запроса: этот, а затем подставив нужный идентификатор альбома этот — вы успешно расшарили прямые ссылки на фотографии в закрытых альбомах.
Выводы:
- Неопределенные лица получают доступ к вашим самым персональным из персональных данных, причем Вконтакте никак об этом акцентирует
- #TheFappening не за горами, если владелец одного из подобных приложений промышляет подобным
- Перед предоставлением разрешений приложению, автором которого вы не являетесь, подумайте трижды
- Периодически удаляйте доступы предоставленные приложениям, особенно тем, которым вы предоставили доступ на неограниченное время, чтобы в будущем не случился казус, даже если сейчас ничего критичного в альбоме не храните
- Пример с аналогичными доступами оставлю в качестве домашнего задания
Комментарии (47)
reactt
23.04.2018 20:33он же пишет, доступ к фотографиям, ясно и понятно
x67
23.04.2018 22:03По умолчанию подразумеваются условно публичные Фото, например для отображения аватарки. Никто и подумать не может, что вк так щедро раздает длступ ко всем фотографиям, к которым в ином случае человек потратил бы бОльшее время для шеринга
VVizard
24.04.2018 00:25+1Если то что вы написали правда то спасибо вам за статью.
Посмотрел, у меня 90% приложений имеют доступ к фотографиям.
Я так же как и x67 считал что приложениям доступны только общедоступные фото.
Хорошо что я в принципе не доверяю ВК никакой приватной информации но большинство даже не подозревают о таком поведении.AllexIn
24.04.2018 08:47Если не секрет — зачем вообще пользоваться приложениями в ВК?
Protos
24.04.2018 09:13Например, одно из моих приложений позволяет сканировать группы и искать по комментариям потенциальных клиентов. Или это был риторический вопрос?
AllexIn
24.04.2018 09:14Вы с личного аккаунта это делаете?
Protos
24.04.2018 09:43Приложение мое, поэтому ответ — да. За годы годы не забанили ни разу. Единственное урезали количество запросов wall.get, но наверное это всем урезали. Каждый пользователь программы под своим личным/отдельным аккаунтом пользуется программой.
VVizard
24.04.2018 10:25Жена активно пользуется всякими открытками и прочим.
Вообще странный вопрос, давайте тогда спросим зачем вообще пользоваться ВК? Есть электронная почта для общения вполне.
Если говорить обо мне то у меня стояла пара игр жанра TD, несколько приложений связанных с музыкой, 3 приложения в стиле «Угадай мелодию», Кроссворды.
Причем абсолютно у всех приложений было разрешение на доступ к фотографиям.
Заводить для этого второй аккаунт смысла нет, проще не размещать на основном какую то важную информацию.
thisiscookie
24.04.2018 09:13Так они вроде как используются при авторизации через ВК на сайтах и считаются приложениями
river-fall
24.04.2018 13:19если вы где-то авторизуетесь через VK, OAuth доступ работает через приложения
Evengard
24.04.2018 01:09Я могу понять если домохозяйки так считали. Но здесь-то вроде гики сидят. Предоставление доступа к фотографиям в этом пункте = «предоставление доступа к API, оперирующего вашими фотографиями от вашего имени». А оперировать можно вполне и приватными фотографиями таким образом.
А вот насчёт зачистки неиспользуемых приложений — это правильный совет. Странно, что они сами не стухают через некоторое время.
Ну и как социалочкам, так и приложениям Андроида (правда со вторым с последними версиями Андроида стало лучше, теперь хотя бы самые важные разрешения запрашивает каждый по отдельности… Хоть и, увы, нельзя некоторые спорные таки вырубить) не хватает возможности отказаться от некоторых разрешений, требуемыми этими самыми приложениями.
Mnemone
24.04.2018 07:00Да тут даже гиком не надо быть что бы это понимать. Зачем приложению запрашивать какое либо разрешение к итак уже публичным фотографиям? Остаются только приватные.
Protos
24.04.2018 07:45Дело в том что вы можете запретить конкретному пользователю или вообще анонимному доступ к вашим фотографиям в разделе Конфиденциальность своего аккаунта, согласно документации на API, при вызове через API требуется передать Сервисный или пользовательский ключ (токен). Поэтому приложения его и запрашивают. Иными словами неанонимно к фотографиям вроде как не обратиться через API, ну а через браузер парсить тысячи фото тысяч пользователей не получится.
vitaliy2
24.04.2018 09:48Странно, что они сами не стухают через некоторое время.
Приложения имеют доступ только при заходе в течение нескольких дней с Вашего IP (это почти то же самое, что «пока приложение открыто»). А сайты могут иметь дольше.Protos
24.04.2018 10:01Для этого при авторизации приложения запрашивают специальное разрешение "Доступ в любое время", это нужно для софта который постоянно что то делает для вас под вашей учётной записью либо чтобы актуализировать какую-либо информацию к которой у приложения есть доступ.
vitaliy2
24.04.2018 10:21Да, я и говорю о том, что сайты могут иметь дольше (пока не запретите).
Ещё есть standalone — там практически всегда запрашивается без ограничений по времени (но можно и с ограничением — тут разработчик решает). PS. Standalone-приложения — это приложения, скачиваемые на Ваш компьютер или телефон, например, из Play Market.
VVizard
24.04.2018 10:33Я как Гик почитал документацию по API и официальный FAQ по приватности.
Нигде даже намека нет на то что через API доступны приватные фотографии:
vk.com/faq8389
Вот представьте что вы читаете форум на котором общаются пишевые технологи, и один из них пишет что-то типа:
«Коллеги, вы используете в своем производстве добавку Е*** но она же приводит к образованию рака и запрещена для использования в европе».
На что ему отвечают: «Ты как профессионал должен знать что продукты с Е*** не нужно покупать? Зачем ты их покупаешь?»
Я считаю что любой профессионал в своей области должен иметь и какую то социальную ответственность, сегодня ты поможешь юристу завтра юрист поможет тебе, это путь к здоровому обществу.
Именно поэтому на мой взгляд позиция: «Профессионалы это знают, а если кто то не знает то сам виноват» для меня неприемлема.
VVizard
24.04.2018 10:41Вот например, приложение из топа:
vk.com/apps?act=popular&w=app1699855
Установлено у 3 700 000 участников, требует доступ к фото.
vk.com/apps?act=popular&w=app4333086
Установлено у 6 400 000
Тоже требует фото.
Да покажите мне хоть одну игру из топа которая не требует доступ к фото.
Вы как профессионал считаете что так и должно быть? И что большая часть из 6,4 млн людей сознательно дали этому приложению доступ к своим приватным фотографиям?
Я все еще надеюсь что Protos что то перепутал и все не так просто как он описал.
tyderh
24.04.2018 04:01Да это вообще жесть: недавно проходил авторизацию WiFi, и она хотела доступ к моим фотографиям. Я, конечно, вконтакте вообще ничего не храню, но масштабы ужасают.
Sabubu
24.04.2018 05:20Я бы советовал завести отдельный аккаунт и заходить в него из отдельного браузера, если вам хочется пользоваться приложениями (а лучше вообще не вносить свои настоящие данные в соцсети). Эта особенность файндфейс давно известна, чтобы делать поиск, надо сначала дать доступ к своим фото. О чем вам и написано синим по белому.
В соцсети всегда лучше заходить из отдельного браузера, так как иначе, когда вы ходите по сайтам, расположенные на них трекеры, кнопки лайков, виджеты комментариев и тд запоминают, куда вы заходили.
polearnik
24.04.2018 10:12ghostery и ublock разве не спасают от подобного поведения?
Protos
24.04.2018 10:34Скорее да чем нет, по факту они вообще имеют полный доступ к содержимому страниц. Но наверное им больше можно доверять нежеле "Васе Пупкину".
sumanai
24.04.2018 11:03По крайней мере uBlock Origin имеет открытый код и не навязывает свои списки. У ghostery вроде тоже есть репозиторий.
Protos
24.04.2018 11:08Ну если браузер позволят проверить исходный код, тогда ок, я просто не в курсе
sumanai
24.04.2018 11:26Не браузер, нужно самому компилировать подписывать и ставить. Или иногда просто сверять собственноручно скомпилированную версию с версией в магазине, и поднимать вой при расхождениях.
nikolayv81
24.04.2018 21:34С повторяемостью сборок не везде хорошо, регулярно появляются новости о проектах призванных обеспечить "повторяемость" наверное не просто ради интереса.
nikolayv81
24.04.2018 21:29В такой постановке осень интересно может звучать другой вопрос:
А в какой момент ваши данные будет использовать uBlock и в каких целях?
Увы, но кроме доверия, никаких гарантий. Многие пользователи ставя на телефон приложения даже не смотрят на разрешения, вот на днях приложение от Лего boost запросило достаточно п к телефонным звонками и идентификацию звонящих, спрашивается зачем? :)
antonksa
24.04.2018 05:23Давно уже понятно, что использовать социальные сети, а уж тем более вконтач, это как сидеть в биотуалете на оживленной улице с открытой дверью.
Я во всех соцсетях имею просто профиль, пару фоток и стараюсь ни с кем там не переписываться.Gerh
24.04.2018 08:45Тоже не понимаю этого соцсетевого эксгибиционизма. Зачем хранить в соцсетях хоть сколько-нибудь значимую информацию, когда есть миллион других более надёжных хранилищ?
VVizard
24.04.2018 11:08«Зачем хранить в соцсетях хоть сколько-нибудь значимую информацию, когда есть миллион других более надёжных хранилищ?»
В контакте 97 000 000 человек. Как вы думаете какой % из них знает что такое «хранилище»?
Возможно я ошибаюсь, не претендую на какую то объективность, читая комментарии меня не покидает ощущение небольшого налета снобизма в большинстве из них.
Есть избранные гуру которые все знают и понимают, и немного свысока и «с непониманием» смотрят на остальных людей.
Вы уверены что у вашей мамы или сестры или будущей жены(с которой вы не познакомились еще) нет закрытых альбомов с фотографиями которые они бы не хотели отдавать всем подряд?
А может ваши друзья хранят фото с вами (например с выпускного) в закрытом альбоме?Gerh
24.04.2018 13:294 из 4 неудачных примера, купите лотерейный билет. По теме — я считаю, что человек должен интересоваться окружающим его миром и постоянно поддерживать уровень своих знаний в адекватном состоянии. Если он ленится, неспособен или по каким-то другим причинам этого не делает, то возникающие в таком случае проблемы не являются объективными недостатками реальности, а всего лишь упущение этого конкретного человека. Как, например, кариес. Никто же не обвиняет микробы, что они разрушают зубы?
cyberly
24.04.2018 08:49>> имею просто профиль, пару фоток и стараюсь ни с кем там не переписываться
… но поскольку в тех социальных сетях эту мою позицию никто не замечает (что логично, по причине отсутствия друзей/подписок), а рассказать о ней хочется, то я напишу об этом в еще одной (почти) социальной сети.
achekalin
24.04.2018 09:50На телефоне недавно увидел предустановленное приложение «Погода», которое отказывалось показывать прогноз погоды, пока ему не давали доступ к «местоположению» (что разумно), и «контактам» (что странно).
Protos
24.04.2018 10:03Доступ к местоположению разве ВКонтакте запрашивает, может это системное разрешение операционной системы устройства? В любому случае я сам указываю нужный мне город обычно, хотя для путешественников это не удобно.
Kanut79
24.04.2018 11:13На самом деле вся эта ситуация с приватностью в социальных сетях, напоминает мне Воннегута с его 14-м томом сочинений Боконона. Потому что этот 14-й том отвечает и на вопрос существует ли приватность в социальных сетях. И, как писал классик: "Прочесть Четырнадцатый том недолго. Он состоит всего из одного слова и точки: «Нет». "
sumanai
24.04.2018 11:28Чёрт, а я не нарушил копирайт на эту книгу своим сообщением выше? У меня правда чуть расширенная версия.
vitaliy2
Фишка в том, что ты можешь захотеть, к примеру, делать в приложении какие-то действия с приватными альбомами. Если доступа не будет, то тогда кроме того, что есть на vk.com, пользователь уже сделать ничего не сможет, что может быть неприятно.
Тут подошло бы дополнительное окно с опцией «Разрешить доступ к приватным альбомам», которое будет выводиться после клика в самом приложении на «Разрешить доступ к приватным альбомам».