211service.com
Een valetsleutel voor uw identiteit
Naarmate onlinediensten die gebruik maken van persoonlijke gegevens zich vermenigvuldigen, komt het steeds vaker voor dat gebruikers gegevens van de ene dienst naar de andere moeten doorgeven. Dit vereist vaak dat gebruikers gebruikersnamen en wachtwoorden overhandigen, ondanks de voor de hand liggende veiligheidsrisico's. Een nieuw open-sourceproject genaamd OAuth , die eerder deze maand werd uitgebracht, is bedoeld om dit probleem op te lossen door gebruikers in staat te stellen services een valetsleutel voor hun identiteit te geven in plaats van volledige toegang.

Tokentoegang: Webservices kunnen OAuth gebruiken om gevoelige gegevens te delen zonder een gebruiker te dwingen volledige toegang tot haar identiteit te geven. Het bovenstaande diagram brengt de stroom van verzoeken in kaart terwijl de services om gegevens en autorisatie van elkaar vragen.
Chris Messina , die hielp bij het organiseren van de productie van OAuth, zegt dat het systeem mensen controle zal geven over de manier waarop ze hun gegevens via webservices uitwisselen, en hen ook zal helpen een beetje veiliger te zijn. Met het systeem kan een gebruiker een token verkrijgen via de ene site en deze doorgeven aan een andere. Het token bepaalt vervolgens waartoe de tweede site toegang heeft en op welke manier. Om dit te bereiken, moet het protocol standaardmanieren definiëren voor sites om gegevens te identificeren en specificeren wat ze ermee gaan doen. Om te werken, vereist OAuth dat beide sites het protocol hebben geïmplementeerd. De gebruiker hoeft er niet van op de hoogte te zijn.
Samen met Messina, Blaine Cook of Twitter en Larry Halff van Magnolia gewerkt om het project te starten.
Het overhandigen van gebruikersnamen en wachtwoorden is een steeds vaker voorkomend kenmerk van sociale netwerksites, waaronder bekende sites zoals: Facebook en LinkedIn . Tijdens de eerste aanmeldingsfase vraagt een site de gebruiker om de inloggegevens voor haar e-mailaccounts in te voeren, zodat deze kan zoeken naar mensen die ze mogelijk kent. Het is ook gebruikelijk dat sites gebruikers de mogelijkheid bieden om hun bestaande contacten uit te nodigen om ook lid te worden van het netwerk. Maar Messina zegt dat er nog een ander, onbedoeld resultaat van de praktijk is: het traint de gebruiker om gebruikersnamen en wachtwoorden als confetti door te geven, zegt hij.
Multimedia
Bekijk hoe OAuth werkt.
Ze waren Hammer-Lahav , die als redacteur voor de kern OAuth-specificatie diende, zegt dat er eerder dit jaar een waarschuwend verhaal kwam toen een sociale netwerksite genaamd Quechup gebruikte zijn toegang tot e-mailaccounts via deze functie om uitnodigingen te sturen naar elke persoon in de contactenlijst van een nieuwe gebruiker. Erger nog, voor veel mensen leken de e-mails afkomstig te zijn van de gebruiker in plaats van van het bedrijf. Hammer-Lahav zegt dat de waarschuwing minder gericht is op een bepaalde site dan op een systeem dat verbetering behoeft. De kern gaat eigenlijk over wat we de liefdesdriehoek noemen, zegt hij. De liefdesdriehoek, legt hij uit, is de relatie tussen de gebruiker en de twee webservices die gegevens moeten delen.
Hij voegt eraan toe dat het nu gebruikelijk wordt voor sites voor financieel beheer, zoals: Als om wachtwoorden te vragen om informatie voor gebruikers te verzamelen. Behalve dat het een veiligheidsrisico vormt, zegt Hammer-Lahav, is het eigenlijk niet de beste manier voor sites om informatie te delen. De aggregatorsites moeten vaak financiële informatie van bankpagina's schrapen door hun software te trainen om bepaalde aanwijzingen in de paginabron te zoeken die belangrijke stukjes gegevens signaleren. Het probleem, zegt hij, is dat als de bank het uiterlijk van een pagina opnieuw ontwerpt, die aanwijzingen kunnen veranderen, waardoor de aggregator de informatie niet kan lezen. Een systeem zoals OAuth, zegt Hammer-Lahav, stelt de sites in staat om informatie rechtstreeks te delen.
Het idee van dit type systeem is niet nieuw, zegt Terrell Russell , medeoprichter van het online identiteitsbeheersysteem Claim-ID . Google , heeft bijvoorbeeld een bestaand eigen protocol met mogelijkheden die vergelijkbaar zijn met die van OAuth. Russell zegt echter dat het ontbreken van een enkele standaard ontwikkelaars belemmert en hen aanmoedigt om gebruikersnamen en wachtwoorden te vragen. Russell zegt dat het oplossen van het probleem om webservices veilig gegevens te laten delen alleen maar belangrijker zal worden naarmate meer gegevens naar het web migreren.
OAuth wordt geïmplementeerd door Twitter en Ma.gnolia, en delen van de standaard verschijnen in Google's OpenSociaal platform. Hoewel de eerste release een kernprotocol is dat de basis bevat voor het uitwisselen van tokens tussen sites, zegt Hammer-Lahav dat latere releases gebruikers meer controle zullen geven over hoe ze toegang tot hun gegevens verlenen.