Еще раз о приватности в Вконтакте +33





Короткий пост для тех кто никогда не задумывался о том какие разрешения стоит предоставлять сторонним сервисам при аутентификации с учетными данными, например, Вконтакте.

В чем тут может быть подвох?

Допустим вы используете Findface для поиска человека по фото, вы авторизуетесь и приложение у вас запрашивает доступ к следующей информации:



Все отлично думаете вы, наверное, доступ к вашим фото нужен чтобы найти другого человека. Довольное странное предположение.

Итак получив токен доступа, владелец сервиса имеет некоторое время на то чтобы скачать все ваши фотографии, особенно из тех альбомов, что помечены так:

"privacy_view": ["only_me"],
"privacy_comment": ["only_me"]

Т.е. не только этих:

"privacy_view": ["all"],
"privacy_comment": ["all"]

Убедиться в этом вы можете просто выполнив 2 запроса: этот, а затем подставив нужный идентификатор альбома этот — вы успешно расшарили прямые ссылки на фотографии в закрытых альбомах.

Выводы:

  1. Неопределенные лица получают доступ к вашим самым персональным из персональных данных, причем Вконтакте никак об этом акцентирует
  2. #TheFappening не за горами, если владелец одного из подобных приложений промышляет подобным
  3. Перед предоставлением разрешений приложению, автором которого вы не являетесь, подумайте трижды
  4. Периодически удаляйте доступы предоставленные приложениям, особенно тем, которым вы предоставили доступ на неограниченное время, чтобы в будущем не случился казус, даже если сейчас ничего критичного в альбоме не храните
  5. Пример с аналогичными доступами оставлю в качестве домашнего задания

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (47):

  1. vitaliy2
    /#10745047 / -1

    Фишка в том, что ты можешь захотеть, к примеру, делать в приложении какие-то действия с приватными альбомами. Если доступа не будет, то тогда кроме того, что есть на vk.com, пользователь уже сделать ничего не сможет, что может быть неприятно.

    Тут подошло бы дополнительное окно с опцией «Разрешить доступ к приватным альбомам», которое будет выводиться после клика в самом приложении на «Разрешить доступ к приватным альбомам».

  2. reactt
    /#10745063

    он же пишет, доступ к фотографиям, ясно и понятно

    • x67
      /#10745215

      По умолчанию подразумеваются условно публичные Фото, например для отображения аватарки. Никто и подумать не может, что вк так щедро раздает длступ ко всем фотографиям, к которым в ином случае человек потратил бы бОльшее время для шеринга

    • devalone
      /#10745525

      По такой же логике можно дать и доступ к фотографиям, отправленным в личной переписке. Не ну а чо? Фотографии же!

      • Protos
        /#10745649

        Хм, вроде для этого нужно запросить разрешение на доступ к сообщениям, разве нет? Это последний пункт моих выводов.

  3. Thero
    /#10745169

    цукеберг.жпг

  4. VVizard
    /#10745387 / +1

    Если то что вы написали правда то спасибо вам за статью.
    Посмотрел, у меня 90% приложений имеют доступ к фотографиям.
    Я так же как и x67 считал что приложениям доступны только общедоступные фото.

    Хорошо что я в принципе не доверяю ВК никакой приватной информации но большинство даже не подозревают о таком поведении.

    • AllexIn
      /#10745735

      Если не секрет — зачем вообще пользоваться приложениями в ВК?

      • Protos
        /#10745787

        Например, одно из моих приложений позволяет сканировать группы и искать по комментариям потенциальных клиентов. Или это был риторический вопрос?

        • AllexIn
          /#10745799

          Вы с личного аккаунта это делаете?

          • Protos
            /#10745879

            Приложение мое, поэтому ответ — да. За годы годы не забанили ни разу. Единственное урезали количество запросов wall.get, но наверное это всем урезали. Каждый пользователь программы под своим личным/отдельным аккаунтом пользуется программой.

        • VVizard
          /#10746019

          Жена активно пользуется всякими открытками и прочим.
          Вообще странный вопрос, давайте тогда спросим зачем вообще пользоваться ВК? Есть электронная почта для общения вполне.

          Если говорить обо мне то у меня стояла пара игр жанра TD, несколько приложений связанных с музыкой, 3 приложения в стиле «Угадай мелодию», Кроссворды.
          Причем абсолютно у всех приложений было разрешение на доступ к фотографиям.

          Заводить для этого второй аккаунт смысла нет, проще не размещать на основном какую то важную информацию.

      • thisiscookie
        /#10745789

        Так они вроде как используются при авторизации через ВК на сайтах и считаются приложениями

      • river-fall
        /#10746681

        если вы где-то авторизуетесь через VK, OAuth доступ работает через приложения

  5. Evengard
    /#10745429

    Я могу понять если домохозяйки так считали. Но здесь-то вроде гики сидят. Предоставление доступа к фотографиям в этом пункте = «предоставление доступа к API, оперирующего вашими фотографиями от вашего имени». А оперировать можно вполне и приватными фотографиями таким образом.

    А вот насчёт зачистки неиспользуемых приложений — это правильный совет. Странно, что они сами не стухают через некоторое время.

    Ну и как социалочкам, так и приложениям Андроида (правда со вторым с последними версиями Андроида стало лучше, теперь хотя бы самые важные разрешения запрашивает каждый по отдельности… Хоть и, увы, нельзя некоторые спорные таки вырубить) не хватает возможности отказаться от некоторых разрешений, требуемыми этими самыми приложениями.

    • Mnemone
      /#10745577

      Да тут даже гиком не надо быть что бы это понимать. Зачем приложению запрашивать какое либо разрешение к итак уже публичным фотографиям? Остаются только приватные.

      • Protos
        /#10745643

        Дело в том что вы можете запретить конкретному пользователю или вообще анонимному доступ к вашим фотографиям в разделе Конфиденциальность своего аккаунта, согласно документации на API, при вызове через API требуется передать Сервисный или пользовательский ключ (токен). Поэтому приложения его и запрашивают. Иными словами неанонимно к фотографиям вроде как не обратиться через API, ну а через браузер парсить тысячи фото тысяч пользователей не получится.

    • vitaliy2
      /#10745893

      Странно, что они сами не стухают через некоторое время.
      Приложения имеют доступ только при заходе в течение нескольких дней с Вашего IP (это почти то же самое, что «пока приложение открыто»). А сайты могут иметь дольше.

      • Protos
        /#10745919

        Для этого при авторизации приложения запрашивают специальное разрешение "Доступ в любое время", это нужно для софта который постоянно что то делает для вас под вашей учётной записью либо чтобы актуализировать какую-либо информацию к которой у приложения есть доступ.

        • vitaliy2
          /#10745991

          Да, я и говорю о том, что сайты могут иметь дольше (пока не запретите).

          Ещё есть standalone — там практически всегда запрашивается без ограничений по времени (но можно и с ограничением — тут разработчик решает). PS. Standalone-приложения — это приложения, скачиваемые на Ваш компьютер или телефон, например, из Play Market.

    • VVizard
      /#10746051

      Я как Гик почитал документацию по API и официальный FAQ по приватности.
      Нигде даже намека нет на то что через API доступны приватные фотографии:
      vk.com/faq8389

      Вот представьте что вы читаете форум на котором общаются пишевые технологи, и один из них пишет что-то типа:
      «Коллеги, вы используете в своем производстве добавку Е*** но она же приводит к образованию рака и запрещена для использования в европе».
      На что ему отвечают: «Ты как профессионал должен знать что продукты с Е*** не нужно покупать? Зачем ты их покупаешь?»

      Я считаю что любой профессионал в своей области должен иметь и какую то социальную ответственность, сегодня ты поможешь юристу завтра юрист поможет тебе, это путь к здоровому обществу.

      Именно поэтому на мой взгляд позиция: «Профессионалы это знают, а если кто то не знает то сам виноват» для меня неприемлема.

    • VVizard
      /#10746081

      Вот например, приложение из топа:
      vk.com/apps?act=popular&w=app1699855

      Установлено у 3 700 000 участников, требует доступ к фото.

      vk.com/apps?act=popular&w=app4333086
      Установлено у 6 400 000
      Тоже требует фото.

      Да покажите мне хоть одну игру из топа которая не требует доступ к фото.

      Вы как профессионал считаете что так и должно быть? И что большая часть из 6,4 млн людей сознательно дали этому приложению доступ к своим приватным фотографиям?

      Я все еще надеюсь что Protos что то перепутал и все не так просто как он описал.

  6. sumanai
    /#10745457 / +2

    Еще раз о приватности в Вконтакте

    Её нет.

  7. tyderh
    /#10745493

    Да это вообще жесть: недавно проходил авторизацию WiFi, и она хотела доступ к моим фотографиям. Я, конечно, вконтакте вообще ничего не храню, но масштабы ужасают.

  8. Sabubu
    /#10745523

    Я бы советовал завести отдельный аккаунт и заходить в него из отдельного браузера, если вам хочется пользоваться приложениями (а лучше вообще не вносить свои настоящие данные в соцсети). Эта особенность файндфейс давно известна, чтобы делать поиск, надо сначала дать доступ к своим фото. О чем вам и написано синим по белому.

    В соцсети всегда лучше заходить из отдельного браузера, так как иначе, когда вы ходите по сайтам, расположенные на них трекеры, кнопки лайков, виджеты комментариев и тд запоминают, куда вы заходили.

    • polearnik
      /#10745959

      ghostery и ublock разве не спасают от подобного поведения?

      • Protos
        /#10746053

        Скорее да чем нет, по факту они вообще имеют полный доступ к содержимому страниц. Но наверное им больше можно доверять нежеле "Васе Пупкину".

        • sumanai
          /#10746149

          По крайней мере uBlock Origin имеет открытый код и не навязывает свои списки. У ghostery вроде тоже есть репозиторий.

          • Protos
            /#10746157

            Ну если браузер позволят проверить исходный код, тогда ок, я просто не в курсе

            • sumanai
              /#10746237

              Не браузер, нужно самому компилировать подписывать и ставить. Или иногда просто сверять собственноручно скомпилированную версию с версией в магазине, и поднимать вой при расхождениях.

              • nikolayv81
                /#10748105

                С повторяемостью сборок не везде хорошо, регулярно появляются новости о проектах призванных обеспечить "повторяемость" наверное не просто ради интереса.

      • nikolayv81
        /#10748097

        В такой постановке осень интересно может звучать другой вопрос:
        А в какой момент ваши данные будет использовать uBlock и в каких целях?
        Увы, но кроме доверия, никаких гарантий. Многие пользователи ставя на телефон приложения даже не смотрят на разрешения, вот на днях приложение от Лего boost запросило достаточно п к телефонным звонками и идентификацию звонящих, спрашивается зачем? :)

      • Sabubu
        /#10748625

        Их надо правильно настроить. Где гарантия, что вы не пропустите какую-нибудь куки или AJAX-запрос?

        • sumanai
          /#10748757

          Против соцсетей есть подписки, вроде даже в стандартной поставке uBlock, достаточно галочку отметить.

  9. antonksa
    /#10745527

    Давно уже понятно, что использовать социальные сети, а уж тем более вконтач, это как сидеть в биотуалете на оживленной улице с открытой дверью.
    Я во всех соцсетях имею просто профиль, пару фоток и стараюсь ни с кем там не переписываться.

    • Gerh
      /#10745731

      Тоже не понимаю этого соцсетевого эксгибиционизма. Зачем хранить в соцсетях хоть сколько-нибудь значимую информацию, когда есть миллион других более надёжных хранилищ?

      • VVizard
        /#10746159

        «Зачем хранить в соцсетях хоть сколько-нибудь значимую информацию, когда есть миллион других более надёжных хранилищ?»

        В контакте 97 000 000 человек. Как вы думаете какой % из них знает что такое «хранилище»?

        Возможно я ошибаюсь, не претендую на какую то объективность, читая комментарии меня не покидает ощущение небольшого налета снобизма в большинстве из них.
        Есть избранные гуру которые все знают и понимают, и немного свысока и «с непониманием» смотрят на остальных людей.

        Вы уверены что у вашей мамы или сестры или будущей жены(с которой вы не познакомились еще) нет закрытых альбомов с фотографиями которые они бы не хотели отдавать всем подряд?

        А может ваши друзья хранят фото с вами (например с выпускного) в закрытом альбоме?

        • Gerh
          /#10746707

          4 из 4 неудачных примера, купите лотерейный билет. По теме — я считаю, что человек должен интересоваться окружающим его миром и постоянно поддерживать уровень своих знаний в адекватном состоянии. Если он ленится, неспособен или по каким-то другим причинам этого не делает, то возникающие в таком случае проблемы не являются объективными недостатками реальности, а всего лишь упущение этого конкретного человека. Как, например, кариес. Никто же не обвиняет микробы, что они разрушают зубы?

    • cyberly
      /#10745737

      >> имею просто профиль, пару фоток и стараюсь ни с кем там не переписываться

      … но поскольку в тех социальных сетях эту мою позицию никто не замечает (что логично, по причине отсутствия друзей/подписок), а рассказать о ней хочется, то я напишу об этом в еще одной (почти) социальной сети.

      • Gerh
        /#10745743

        С друзьями надо в реальной жизни дружить, а не в соцсетях.

        • cyberly
          /#10745757

          «Друзья» — в терминологии социальных сетей. То что в LinkedIn называется «connection», ЕМНИП.

  10. achekalin
    /#10745899

    На телефоне недавно увидел предустановленное приложение «Погода», которое отказывалось показывать прогноз погоды, пока ему не давали доступ к «местоположению» (что разумно), и «контактам» (что странно).

    • Protos
      /#10745923

      Доступ к местоположению разве ВКонтакте запрашивает, может это системное разрешение операционной системы устройства? В любому случае я сам указываю нужный мне город обычно, хотя для путешественников это не удобно.

  11. Kanut79
    /#10746189

    На самом деле вся эта ситуация с приватностью в социальных сетях, напоминает мне Воннегута с его 14-м томом сочинений Боконона. Потому что этот 14-й том отвечает и на вопрос существует ли приватность в социальных сетях. И, как писал классик: "Прочесть Четырнадцатый том недолго. Он состоит всего из одного слова и точки: «Нет». "

  12. river-fall
    /#10746685

    Спасибо за напоминание, почистил список от ненужного