Revocar el consentimiento en proveedores de identidad
Si estás un poco preocupado por la privacidad y la seguridad en general, es posible que te hayas hecho estas preguntas en algún momento:
En este post vamos a resumir cómo gestionar y revocar el consentimiento que proporcionamos a aplicaciones de terceros en los proveedores de identidad más importantes. Si has caído en un engaño, están suplantando tu identidad y lo que te interesa es desactivar esa aplicación en Facebook o Twitter, puedes saltar directamente al apartado correspondiente (Facebook, Google, Windows Live ID, Twitter, Yahoo). Si quieres entender un poco mejor cómo hemos llegado hasta aquí, sigue leyendo.
Hoy en día los servicios de correo y las redes sociales más importantes de internet han evolucionado para convertirse en proveedores de identidad que te permiten acceder con tu cuenta existente a sitios web de terceros. Al hacerlo hay un proceso de autorización mediante el cual le otorgamos a ese sitio web el acceso a nuestros datos personales proporcionados por el proveedor de identidad. Si no lo sabes a estas alturas, deberías prestar más atención a dónde haces click en Internet.
Si disponemos de una cuenta en Windows Live, Google o Yahoo, podemos utilizarla para entrar en muchos sitios que soportan el estándar OpenID o la tecnología Windows Live ID (el antiguo Passport). Un gran avance para el usuario, ya que no necesitamos crear y gestionar otro nombre de usuario y contraseña más (porque nadie reutiliza las contraseñas, ¿verdad? ;-))
También se utiliza este tipo de autorización o consentimiento por ejemplo para permitir el acceso a nuestra cuenta en el caso de clientes externos de Twitter, mediante el protocolo OAuth. En este caso la ventaja, como ya explicamos en un post anterior, es que las aplicaciones o los sitios web de terceros no tienen en ningún momento acceso a nuestras credenciales.
Quizá la tecnología de este tipo más extendida actualmente sea Facebook Connect, que está un poco entre medias de los dos casos de uso anteriores. Cuando hacemos "Login con Facebook" en una página web de terceros, normalmente autorizamos a ese sitio a acceder a nuestra información, pero también a escribir en nuestro muro o en el de nuestros amigos en nuestro nombre.
En ambos casos otro de los avances desde el punto de vista de seguridad es que en teoría podemos, en cualquier momento, revocar el consentimiento otorgado, sin necesidad de cambiar la contraseña. Esto contribuye en gran medida a la llamada "agilidad en la confianza" (o trust agility), un concepto que define el gran Moxie Marlinspike en su blog y que se me antoja imprescindible en el panorama actual de Internet.
Fuente: Bits y Lentejas
- ¿Qué aplicaciones o sitios web tienen acceso a mis datos personales en Facebook?
- ¿Quién puede ver mis contactos en Gmail o Windows Live/Hotmail (y enviarles correos en mi nombre)?
- ¿Quién puede publicar actualizaciones en Twitter, Facebook o Windows Live en mi nombre?
En este post vamos a resumir cómo gestionar y revocar el consentimiento que proporcionamos a aplicaciones de terceros en los proveedores de identidad más importantes. Si has caído en un engaño, están suplantando tu identidad y lo que te interesa es desactivar esa aplicación en Facebook o Twitter, puedes saltar directamente al apartado correspondiente (Facebook, Google, Windows Live ID, Twitter, Yahoo). Si quieres entender un poco mejor cómo hemos llegado hasta aquí, sigue leyendo.
Hoy en día los servicios de correo y las redes sociales más importantes de internet han evolucionado para convertirse en proveedores de identidad que te permiten acceder con tu cuenta existente a sitios web de terceros. Al hacerlo hay un proceso de autorización mediante el cual le otorgamos a ese sitio web el acceso a nuestros datos personales proporcionados por el proveedor de identidad. Si no lo sabes a estas alturas, deberías prestar más atención a dónde haces click en Internet.
Si disponemos de una cuenta en Windows Live, Google o Yahoo, podemos utilizarla para entrar en muchos sitios que soportan el estándar OpenID o la tecnología Windows Live ID (el antiguo Passport). Un gran avance para el usuario, ya que no necesitamos crear y gestionar otro nombre de usuario y contraseña más (porque nadie reutiliza las contraseñas, ¿verdad? ;-))
También se utiliza este tipo de autorización o consentimiento por ejemplo para permitir el acceso a nuestra cuenta en el caso de clientes externos de Twitter, mediante el protocolo OAuth. En este caso la ventaja, como ya explicamos en un post anterior, es que las aplicaciones o los sitios web de terceros no tienen en ningún momento acceso a nuestras credenciales.
Quizá la tecnología de este tipo más extendida actualmente sea Facebook Connect, que está un poco entre medias de los dos casos de uso anteriores. Cuando hacemos "Login con Facebook" en una página web de terceros, normalmente autorizamos a ese sitio a acceder a nuestra información, pero también a escribir en nuestro muro o en el de nuestros amigos en nuestro nombre.
En ambos casos otro de los avances desde el punto de vista de seguridad es que en teoría podemos, en cualquier momento, revocar el consentimiento otorgado, sin necesidad de cambiar la contraseña. Esto contribuye en gran medida a la llamada "agilidad en la confianza" (o trust agility), un concepto que define el gran Moxie Marlinspike en su blog y que se me antoja imprescindible en el panorama actual de Internet.
Fuente: Bits y Lentejas
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!