前不久,一个传闻在微博用户中引起骚动。有微博用户说,在别的网站也看到了微博的登录入口;使用自己的微博账号也能够登录进去,不但能看到自己发的信息、评论,甚至能看到私信。他们质疑,微博运营商是否把用户的数据卖给了这些“克隆微博”网站,或者泄露了用户的隐私数据?进一步联想,iPhone、安卓手机上也有很多微博客户端,是否会发生密码泄露呢?
几家微博运营商的技术人员均表示,开放第三方网站一般不会发生用户信息和密码泄露。如果不放心,可以在设置中取消第三方授权。
第三方网站“看”到“改”不到
记者联系了几家微博运营商的技术人员,他们表示,对于符合开放平台标准的第三方客户端和网站来说,一般不会发生用户的信息和密码泄露情况。
据技术人员介绍,目前国内微博通常都采用OAuth的开放授权方式来向第三方程序提供开放接口。这种方式的特点在于“代理登录”。也就是说,用户在初次使用这些第三方客户端或网页时,第一步都是第三方向微博官方提出请求,微博官方给出一个授权页面;用户在这个页面上填入自己的微博用户名和密码,表示授权目前这个第三方程序访问自己的微博内容;微博方给予第三方程序一个授权码,此后第三方程序在访问用户微博内容时都使用这个授权码,而非用户自己的密码。
从上述过程中我们可以看到,第三方程序或网页在整个过程中并无机会接触到用户的密码,用户输入密码的过程实际上都是在微博官方页面上完成;而在授权后,第三方是通过授权码来访问用户的内容的。用户的内容也是始终存放在微博运营商的服务器上,并没有发生泄漏,不同第三方程序访问用户的微博、私信,只是通过代理获取到了内容,呈现给用户。
OAuth机制是随着微博鼻祖———推特一起发展起来的授权机制。推特、Facebook这些Web2.0的代表性企业,其发展的一大动力就是开放平台,允许大量第三方程序为用户提供额外的服务。开放的首要保障是安全,而OAuth机制通过代理访问的方法,解决了这一问题———第三方程序在用户的授权下可以“看到”用户数据,但不能更改。国内的微博在发布自己的开放平台时,也都采取了这一机制。
不放心可以取消第三方授权
有些读者可能觉得,让第三方程序、网站看自己的微博、数据,仍然有点不舒服,尽管这样经过了自己的授权。有这种想法的读者,可以去微博官网登录自己的账号,进入账号设置一项,有个“应用授权”菜单,显示该用户目前授权给了哪些第三方程序、网页读取自己的微博内容。在每个第三方后面,都有个取消授权的按钮,用户 可以随时取消看上去不大放心的第三方的授权。只访问微博官网、只使用微博官方客户端,这样就能最大程度地保护自己的信息安全。
通过这个过程的解读,我们也可以看到,“克隆微博”网站并不是把用户的微博内容拷贝了一份出来,而只是通过第三方授权去访问了用户的内容。因此,不用担心自己的微博内容已经泄露了。只要没丢失密码,微博内容都好好地躺在微博运营方的服务器上呢。
