Pull to refresh
  • by relevance
  • by date
  • by rating

Microsoft и Google отложили удаление базовой аутентификации из-за пандемии

Information Security *IT-companies
imageФото: wiseit.com

Microsoft объявила, что удаление Basic Authentication из Exchange Online откладывается до второй половины 2021 года из-за текущей ситуации, вызванной пандемией COVID-19.
Total votes 12: ↑8 and ↓4 +4
Views 4.7K
Comments 1

В Google объяснили причину глобального сбоя сервисов

IT Infrastructure *Google API *Google Cloud Platform *Cloud services
image

Google опубликовала разъяснение по поводу масштабного сбоя, который наблюдался на YouTube, в Gmail и Google Docs 14 декабря. Проблема действительно скрывалась в работе службы аутентификации. Ранее стало известно, что она связана с переполнением хранилища.
Читать дальше →
Total votes 31: ↑29 and ↓2 +27
Views 43K
Comments 62

OAuth тихо подкрался ко всем Google Data API

IT-companies

Сегодня, одна из серьезнейших проблем для разработчиков mashup-приложений — это отсутствие стандартизации в аутентификации и авторизации для открытых API. Так что можно считать, сегодня Google вновь показывает всем тот тренд, который будет определять как минимум близлежащее будущее, а именно тихонько добавил поддержку OAuth для Google Data APIs

Это наш первый шаг в данном направлении. Имейте в виду, что это альфа-релиз, и мы можем внести изменения в протокол до выхода официального релиза.


Это знаменательное событие, так как с данного момента уже два монстра поддерживают OAuth: в начале этого года, Yahoo Fire Eagle API также объявила о комплексной поддержке OAuth.

Есть определенные нюансы, но это уже рабочие моменты, важен сам факт принятия Google данного стандарта идентификации.

via SocialTrend
Total votes 17: ↑16 and ↓1 +15
Views 587
Comments 5

Google запустил платформу Friend Connect

Lumber room
Как и ожидалось, Google запустил платформу Friends Connect, которая поддерживает три основных социальных стандарта — OpenID, oAuth и OpenSocial. Первоначально, основные участники альянса OpenSocial (Facebook, Google Talk, Hi5, Orkut и Plaxo) смогут предоставлять данные своих пользователей для сторонних сайтов.

Для работы с Friend Connect никаких знаний программирования не требуется. Просто заполняем требуемую информацию, выбираем нужные социальные приложения, копируем код, вставляем и сохраняем. Также присутствуют такие возможности, как регистрация пользователей, рассылка приглашений, публикация сообщений и обзоров.



Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 282
Comments 6

Хранение паролей considered harmful

Information Security *
Наверняка многие из вас заметили историю с паролями на bestpersons.ru. Приглашаю их, а также прочих авторов веб-сервисов к дискуссии.

Вопрос в том, нужно ли было Bestpersons вообще иметь пароль для входа на сайт (который, в общем-то, и увели)? Ведь как ни старайся, всё равно хранить пароли правильно вряд ли получится.

Каждый раз, когда вы предлагаете пользователю сохранить пароль (новый ли, для входа на ваш сайт, или пароли от сторонних сервисов) — вы берёте на себя очень серьёзные обязательства по обеспечению безопасности этого пароля. Некоторые относятся к этому безалаберно, некоторые серьёзнее — но проблемы всё равно возможны, что и случилось с обсуждаемым ресурсом.

Вся эта возня с паролями напоминает какое-то дремучее желание хранить дома мешки с (чужой) наличностью. И ведь знают же, что независимо от того, какая дверь — деревянная ли, железная ли; даже если дробовик дома хранить — всё равно придут и ограбят. Не надёжнее ли всё же хранить их в банках, которые гарантируют возврат денег в любом случае?
Читать дальше →
Total votes 1: ↑1 and ↓0 +1
Views 1.2K
Comments 47

Evernote API или Что внутри слона?

Evernote corporate blog
В комментариях к нашим предыдущим записям в блоге на Хабре мы упомянули о том, что Evernote имеет собственный API. Сейчас я хочу рассказать о нем подробнее.


Когда мы только разрабатывали протокол синхронизации для Evernote, мы хотели добиться кроссплатформенности решения (веб-часть написана на Java, клиент для Windows и Windows Mobile — на C++, клиенты для Mac и iPhone на Objective C). Нужно было что-то, что позволит легко имплементировать этот протокол на разных клиентах и позволять расширять этот протокол по необходимости. Помимо этого, нам хотелось обеспечить передачу бинарных данных по данному протоколу, дабы уменьшить объем передаваемых данных. Выбор пал на Thrift, протокол, использовавшийся (и до сих пор использующийся) в Facebook, а ныне ставший опенсорсным проектом под крылом Apache Incubator. Разрабочики Evernote даже приложили свою руку к развитию проекта, исправляя ошибки и дорабатывая Java, Objective C и Perl-реализациии Thrift.
Читать дальше →
Total votes 49: ↑40 and ↓9 +31
Views 14K
Comments 28

Jabber-to-Evernote Gateway изнутри

Python *
Некоторое время назад я запустил бота для постинга в Evernote через джаббер и пообещал открыть исходный код, чтобы показать примеры работы с Evernote API и OAuth.

Код — в конце статьи, а для начала я расскажу о некоторых особенностях работы с Evernote.
Читать дальше →
Total votes 35: ↑32 and ↓3 +29
Views 1.5K
Comments 9

OAuth Id

Lumber room
Как насчет идеи сделать небольшой сервис для гиков — OAuth Id? Некоторый прокси, позволяющий использовать OAuth провайдер в качестве OpenId провайдера. Словами попроще, использовать логин из сервиса с поддержкой OAuth в качестве OpenId логина.
Ещё проще :), например, входить с помощью аккаунта Twitter на StackOverflow.
В число проектов, предоставляющие OAuth, но не предоставляющих OpenId, т.е. пользователям которых этот сервис мог быть полезен входят:
Total votes 4: ↑4 and ↓0 +4
Views 258
Comments 7

OAuth: описание протокола простым и понятным языком

Social networks and communities
OAuth — популярный протокол, который позволяет социальным сервисам интегрироваться между собой и дает безопасный способ обмена персональной информацией. OAuth может связать между собой 2 сервиса, каждый из которых имеет свою пользовательскую базу — именно их я в данном случае называю «социальными». Когда начинаешь работать с OAuth, первое ощущение — что протокол весьма сложен и избыточен. В этой статье я попытаюсь объяснить основы OAuth человеческим языком.

Пример кросс-авторизации


Вернемся в 2005-й год и представим, что мы пишем социальную сеть. В ней имеется форма импорта контактов из адресной книги GMail. Что нужно для доступа к контактам GMail? Конечно, логин и пароль от ящика. Но если мы попросим ввести их на нашем сайте, пользователь заподозрит неладное. Где гарантия, что мы не сохраняем на сервере введенные пароли? Поэтому нам хочется, чтобы пароль вводился только на сайте GMail, и после этого доступ к контактам через API GMail предоставлялся нашей социальной сети (возможно, на время).
Под катом - повествование с примерами
Total votes 134: ↑124 and ↓10 +114
Views 96K
Comments 34

Авторизация по протоколу OAuth на примере Desktop Twitter-клиента

Website development *
Tutorial
Потребовалось мне тут написать некий кроссплатформенный Twitter-клиент с закрытым исходным кодом, не спрашивайте зачем мне это надо, работа у меня такая, деньги я за это получаю. Что логично, языком разработки был выбран С++ с использованием Qt.
Сам API Twitter'a прост как кирзовый сапог. Но! Есть такая важная штука как авторизация, и тут есть два пути, старый — аутентификация посредством HTTP Headers и новый — использование протокола OAuth. Старый метод прост, также как и само API, но, к сожалению, он не безопасен, и самое главное команда Twitter'a предупреждает, что откажется от него в конце июня сего года. Поэтому остается второй метод OAuth. Надо сказать, что данный протокол используется не только в Twitter, но поскольку я писал Twitter-клиент, и рассматривать мы будем на примере Twitter'a.
и как же это сделать?
Total votes 43: ↑36 and ↓7 +29
Views 23K
Comments 33

OAuth доступ к IMAP/SMTP в Gmail

IT-companies
Translation
Google давно уже полагает, что пользователи должны иметь возможность экспортировать свои данные и использовать их с любыми другими сервисами на своё усмотрение. На протяжении многих лет службы Gmail поддерживает стандартный API через протоколы POP и IMAP, без каких-либо дополнительных расходов для наших пользователей. Эти усилия согласуются с нашими более широкими намерениями по упрощению доступа к данным из сторонних сервисов.

В дополнение к упрощению экспорта своих данных, мы также позволим пользователям разрешать доступ к данным в Google для third-party (не относящихся к Google) приложений и веб-сайтов. Одним из наиболее распространенных примеров является разрешение доступа к вашей адресной книге для социальной сети, чтобы она отправила приглашения вашим друзьям.

Пользователь, конечно, может сообщить свой пароль от аккаунта Google third-party приложению, чтобы разрешить подобный доступ, однако существует более безопасный способ — использовать стандартный протокол OAuth, который позволит пользователю дать свое согласие на доступ к определенным ресурсам, не сообщая свой пароль. Большинство возможностей Google API поддерживают OAuth, а начиная с 30 марта 2010 года он доступен также и для IMAP/SMTP в Gmail.
Читать дальше →
Total votes 58: ↑47 and ↓11 +36
Views 1.9K
Comments 10

Интеграция OAuth и Twitter API в фреймворк Kohana3

Kohana *
Закралась мне как-то в голову мысль, что пора бы заняться интеграцией блога и твиттера в единое целое. Для этого существуют две такие замечательные вещи, как OAuth, связывающий ваше приложение с функционалом стороннего API, и сам функционал, реализованный, в данном случае, в виде Twitter API.

Проштудировав несколько мануалов (например, у Дмитрия Котерова имеется очень хорошая статья по этой теме) и поняв основной принцип работы OAuth, я пришел к выводу, что писать свой велосипед — неэффективная задача на данный момент, и решил посмотреть, что уже есть готового в интернете.

Итак, что же мы видим, зайдя на http://dev.twitter.com/pages/libraries? Невообразимое количество готовых решений для нашей задачи. Я решил остановится на приглянувшейся мне библиотеке Twitter-async от Jaisen Mathai. Далее опишу, как интегрировать библиотеку в Kohana 3 и как ей пользоваться.
Читать дальше →
Total votes 30: ↑24 and ↓6 +18
Views 1.9K
Comments 10

OExchange получил поддержку

Lumber room
Новый протокол, предназначенный для того, чтобы «шарить» контент, получил поддержку от крупных компаний, таких как Microsoft, Google, LinkedIn.
С одной стороны, сайтам с контентом необходима возможность давать посетителям обмениваться ссылками на этот контент в разных системах. С другой стороны, всяким гугл-баззам хочется встраиваться в список систем для обмена со своими пользователями. Между ними ещё стоят инструменты обмена, которые в простейшем случае представляют собой различные веб-виджеты, работающие на странице в браузере. Протокол OExchange унифицирует решение этих задач.
Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Views 192
Comments 5

Твиттер-приложения и OAuth

Social networks and communities
Как известно, многие пользователи Твиттера для написания твитов используют не веб-интерфейс, а сторонние приложения. Так вот, Кэролин Пеннер сообщила в блоге Твиттера о том, что начиная со вчерашнего дня — 31 августа — все приложения для Твиттера должны использовать OAuth.

OAuth — это метод аутентификации, позволяющий использовать приложения без предоставления им своего пароля.

При обычной проверке подлинности нужно указывать имя пользователя и пароль для доступа к Твиттеру, и приложение должно хранить и передавать эту информацию через Интернет при каждом запуске приложения. С OAuth всё иначе. Приложение не хранит ваш пароль, вы просто утверждаете приложению доступ. А если пользователь поменяет свой пароль, то приложения будут продолжать работать.

Отменить доступ приложению можно в любое время. Чтобы увидеть, каким приложениям дано разрешение, просто зайдите в раздел в настройках на вкладку Connections.

К счастью, разработчики знали о переходе на OAuth с декабря прошлого года, так что они успели обновить свои приложения. И многие приложения, в том числе Echofon, TweetDeck, Twitterrific, Seesmic, Twitter for Android, Twitter for iPhone и Twitter for BlackBerry, уже используют OAuth. Если вы пользуетесь сторонним приложением, то проверьте, что у вас его последняя версия. В противном случае может оказаться, что оно вообще не работает.
Total votes 39: ↑25 and ↓14 +11
Views 1.4K
Comments 29

Твиттер собственными руками на C#. Часть 1: авторизация OAuth

Website development *

В один момент сложилась желание написать программу клиент для сетей микроблогинга Twitter, языком программирования был выбран C#.
Напомню что OAuth это открытый протокол авторизации, который позволяет предоставить третьей стороне доступ к защищенным ресурсам пользователя, без необходимости передавать ей (третьей стороне) логин и пароль. Третьим лицом в данном случае естественно будем являтся мы со своим приложением.
В принципе это руководство подойдёт для OAuth авторизации не только в Twitter, но и в любом другом портале который использует OAuth, например небезызвестный FriendFeed.
Читать дальше →
Total votes 65: ↑52 and ↓13 +39
Views 13K
Comments 17

Разработка приложения на основе протокола oAuth для Twitter API на PHP

Website development *

В этой статье расскажу про работу с Twitter API по протоколу OAuth на PHP.
Протокол OAuth предоставляет приложению доступ к данным пользователя без передачи ему логина и пароля пользователя. Новые правила авторизации приложений требуют использование технологии “OAuth” для работы с Twitter начиная с 31 августа.
Тестовое приложение, которое получится в итоге, будет уметь выводить ленту сообщений пользователя, ленту последних статусов его фолловеров и по нажатию на кнопку рядом с каждым статусом фолловера или друга можно будет читать всю ленту этого пользователя.
Читать дальше →
Total votes 79: ↑57 and ↓22 +35
Views 11K
Comments 22

OpenID, OAuth и другие плюшки

ASP *
Tutorial

Зачем нужен OpenID



Вот бывает так, заходишь на сайт любимый, а там ссылка на другой сайт, а там статья ну очень интересная и главное – полезная – и хочется добавить комментарий, типа «Молодцы!» и чтобы добавить комментарий, нужно зарегистрироваться, а чтобы зарегистрироваться нужно ввести «Имя», «Фамилия», «Логин», «Email», «Email еще раз», «Пароль», «Снова Пароль», «Прочитал правила и согласен со всем что тут будет происходить» и «Капчу». И жмакаешь «Зарегистрироваться», а тут бац – «Логин» — занят, и поля «Пароль», «Снова Пароль», «Капча» — стерты. Ну вот так. Вводишь другой свой логин (который второй, и не главный и не любимый) и снова пароль, снова снова пароль (постите) и капчу, и бац – всё ок, только забыл снова поставить галку «Прочитал правила...». Ну ладно, прошел еще раз круги ада, на мыло вышло письмо, активировал аккаунт, так, а где там была статья, да и ну их, не молодцы они, ну т.е. молодцы ну и хрен с этим, знают и так.
Проведите эксперимент, в вашей любимой почте сделайте поиск по слову «activate» — вот примерно столько вы регистрировались на сайтах.
А с другой стороны думаешь, а давайте упростим, и делаешь простое добавление комментария: «Имя», «Email», «Сообщение» — причем «Email» можно не вводить. Через 3 месяца заходишь, а там – СПАМ! Ладно, почистил – и ноль эффекта, спам продолжает, добавил капчу – ну вроде ок, но потом снова как-то они ее обходят. И внимание(!) – вводим регистрацию… Ой!
Но есть (УРА!) – OpenID.
Читать дальше →
Total votes 79: ↑67 and ↓12 +55
Views 22K
Comments 21

Интегрируем Twitter в ваше Android приложение

Development for Android *
Sandbox

Интегрируем Twitter в ваше Android приложение


Начав писать свою небольшую игрушку для гуглофона, захотелось отправлять рекорды в твиттер. Как оказалось на просторах интернета есть множество статей по поводу подключения к вашему аккаунту в твиттере, но рабочих примеров крайне мало. Немного усилий и я нашел нужный мне код, который оказался вполне работоспособен. Что ж, приступим к интеграции.
Читать дальше →
Total votes 51: ↑42 and ↓9 +33
Views 15K
Comments 17

OAuth 2.0 простым и понятным языком

VK corporate blog
Логотип OAuth 2.0

На хабре уже писали про OAuth 1.0, но понятного объяснения того, что такое OAuth 2.0 не было. Ниже я расскажу, в чем отличия и преимущества OAuth 2.0 и, как его лучше использовать на сайтах, в мобильных и desktop-приложениях.

Что такое OAuth 2.0


OAuth 2.0 — протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе. Протокол избавляет от необходимости доверять приложению логин и пароль, а также позволяет выдавать ограниченный набор прав, а не все сразу.

Читать дальше →
Total votes 168: ↑153 and ↓15 +138
Views 544K
Comments 43

Поддержка протокола XMPP в Mail.Ru Агенте и «секреты» авторизации на XMPP-сервере Facebook

VK corporate blog
Мы рады сообщить вам о выходе Mail.Ru Агента версии 5.8 для Windows!

Главная «фича» этой версии – поддержка протокола XMPP (Jabber), которая ранее уже появилась в мобильных клиентах для платформ Symbian и Java 2 Micro Edition. Поскольку мобильным мессаджингом пользуется наиболее активная и технически «продвинутая» часть нашей аудитории, эксперимент с XMPP мы начали именно с мобильных платформ. Однако «фича» неожиданно оказалась довольно популярной и востребованной, в том числе, и на десктопе.

Основная идея поддержки этого протокола заключается в том, чтобы сделать возможным обмен IM-сообщениями с пользователями социальных сетей «Вконтакте» и Facebook, которые не так давно открыли публичный интерфейс к своим внутренним системам мессаджинга по протоколу XMPP. Как показал наш опыт с Мобильным Агентом, это наиболее частый случай использования XMPP-клиента.

Однако, несмотря на «заточенность» под социальные сети, наша реализация протокола поддерживает большинство популярных расширений (XEP'ов – XMPP Extenstion Protocol), так что Mail.Ru Агент можно использовать в качестве клиента для подключения к самым произвольным XMPP-серверам. «Из коробки» поддерживаются сервисы «Вконтакте», Facebook, Google Talk, Яндекс.Онлайн и QIP, однако при необходимости можно подключить любую учетную запись (например, на Jabber.Ru) – достаточно лишь указать в настройках JID (Jabber ID) и пароль (IP-адрес сервера будет определен автоматически по SRV-запросу к DNS).

Если говорить об особенностях реализации XMPP-клиента, то с основными проблемами мы столкнулись в области авторизации пользователей.
Читать дальше →
Total votes 62: ↑46 and ↓16 +30
Views 18K
Comments 40