Еще раз о приватности в Вконтакте

Короткий пост для тех кто никогда не задумывался о том какие разрешения стоит предоставлять сторонним сервисам при аутентификации с учетными данными, например, Вконтакте.

В чем тут может быть подвох?

Допустим вы используете Findface для поиска человека по фото, вы авторизуетесь и приложение у вас запрашивает доступ к следующей информации:



Все отлично думаете вы, наверное, доступ к вашим фото нужен чтобы найти другого человека. Довольное странное предположение.

Итак получив токен доступа, владелец сервиса имеет некоторое время на то чтобы скачать все ваши фотографии, особенно из тех альбомов, что помечены так:

"privacy_view": ["only_me"],
"privacy_comment": ["only_me"]

Т.е. не только этих:

"privacy_view": ["all"],
"privacy_comment": ["all"]

Убедиться в этом вы можете просто выполнив 2 запроса: этот, а затем подставив нужный идентификатор альбома этот — вы успешно расшарили прямые ссылки на фотографии в закрытых альбомах.

Выводы:

  1. Неопределенные лица получают доступ к вашим самым персональным из персональных данных, причем Вконтакте никак об этом акцентирует
  2. #TheFappening не за горами, если владелец одного из подобных приложений промышляет подобным
  3. Перед предоставлением разрешений приложению, автором которого вы не являетесь, подумайте трижды
  4. Периодически удаляйте доступы предоставленные приложениям, особенно тем, которым вы предоставили доступ на неограниченное время, чтобы в будущем не случился казус, даже если сейчас ничего критичного в альбоме не храните
  5. Пример с аналогичными доступами оставлю в качестве домашнего задания
Поделиться публикацией
Ой, у вас баннер убежал!

Ну. И что?
Реклама
Комментарии 48
  • –1
    Фишка в том, что ты можешь захотеть, к примеру, делать в приложении какие-то действия с приватными альбомами. Если доступа не будет, то тогда кроме того, что есть на vk.com, пользователь уже сделать ничего не сможет, что может быть неприятно.

    Тут подошло бы дополнительное окно с опцией «Разрешить доступ к приватным альбомам», которое будет выводиться после клика в самом приложении на «Разрешить доступ к приватным альбомам».
    • 0
      он же пишет, доступ к фотографиям, ясно и понятно
      • +3

        По умолчанию подразумеваются условно публичные Фото, например для отображения аватарки. Никто и подумать не может, что вк так щедро раздает длступ ко всем фотографиям, к которым в ином случае человек потратил бы бОльшее время для шеринга

        • +1
          По такой же логике можно дать и доступ к фотографиям, отправленным в личной переписке. Не ну а чо? Фотографии же!
          • +1

            Хм, вроде для этого нужно запросить разрешение на доступ к сообщениям, разве нет? Это последний пункт моих выводов.

        • 0
          цукеберг.жпг
          • +4
            Если то что вы написали правда то спасибо вам за статью.
            Посмотрел, у меня 90% приложений имеют доступ к фотографиям.
            Я так же как и x67 считал что приложениям доступны только общедоступные фото.

            Хорошо что я в принципе не доверяю ВК никакой приватной информации но большинство даже не подозревают о таком поведении.
            • 0
              Если не секрет — зачем вообще пользоваться приложениями в ВК?
              • 0

                Например, одно из моих приложений позволяет сканировать группы и искать по комментариям потенциальных клиентов. Или это был риторический вопрос?

                • 0
                  Вы с личного аккаунта это делаете?
                  • 0

                    Приложение мое, поэтому ответ — да. За годы годы не забанили ни разу. Единственное урезали количество запросов wall.get, но наверное это всем урезали. Каждый пользователь программы под своим личным/отдельным аккаунтом пользуется программой.

                  • 0
                    Жена активно пользуется всякими открытками и прочим.
                    Вообще странный вопрос, давайте тогда спросим зачем вообще пользоваться ВК? Есть электронная почта для общения вполне.

                    Если говорить обо мне то у меня стояла пара игр жанра TD, несколько приложений связанных с музыкой, 3 приложения в стиле «Угадай мелодию», Кроссворды.
                    Причем абсолютно у всех приложений было разрешение на доступ к фотографиям.

                    Заводить для этого второй аккаунт смысла нет, проще не размещать на основном какую то важную информацию.
                  • 0
                    Так они вроде как используются при авторизации через ВК на сайтах и считаются приложениями
                    • 0
                      если вы где-то авторизуетесь через VK, OAuth доступ работает через приложения
                  • 0
                    Я могу понять если домохозяйки так считали. Но здесь-то вроде гики сидят. Предоставление доступа к фотографиям в этом пункте = «предоставление доступа к API, оперирующего вашими фотографиями от вашего имени». А оперировать можно вполне и приватными фотографиями таким образом.

                    А вот насчёт зачистки неиспользуемых приложений — это правильный совет. Странно, что они сами не стухают через некоторое время.

                    Ну и как социалочкам, так и приложениям Андроида (правда со вторым с последними версиями Андроида стало лучше, теперь хотя бы самые важные разрешения запрашивает каждый по отдельности… Хоть и, увы, нельзя некоторые спорные таки вырубить) не хватает возможности отказаться от некоторых разрешений, требуемыми этими самыми приложениями.
                    • 0
                      Да тут даже гиком не надо быть что бы это понимать. Зачем приложению запрашивать какое либо разрешение к итак уже публичным фотографиям? Остаются только приватные.
                      • 0

                        Дело в том что вы можете запретить конкретному пользователю или вообще анонимному доступ к вашим фотографиям в разделе Конфиденциальность своего аккаунта, согласно документации на API, при вызове через API требуется передать Сервисный или пользовательский ключ (токен). Поэтому приложения его и запрашивают. Иными словами неанонимно к фотографиям вроде как не обратиться через API, ну а через браузер парсить тысячи фото тысяч пользователей не получится.

                      • 0
                        Странно, что они сами не стухают через некоторое время.
                        Приложения имеют доступ только при заходе в течение нескольких дней с Вашего IP (это почти то же самое, что «пока приложение открыто»). А сайты могут иметь дольше.
                        • 0

                          Для этого при авторизации приложения запрашивают специальное разрешение "Доступ в любое время", это нужно для софта который постоянно что то делает для вас под вашей учётной записью либо чтобы актуализировать какую-либо информацию к которой у приложения есть доступ.

                          • 0
                            Да, я и говорю о том, что сайты могут иметь дольше (пока не запретите).

                            Ещё есть standalone — там практически всегда запрашивается без ограничений по времени (но можно и с ограничением — тут разработчик решает). PS. Standalone-приложения — это приложения, скачиваемые на Ваш компьютер или телефон, например, из Play Market.
                            • +1
                              А должен решать не разработчик, а пользователь. Пользователь должен определять время жизни токена, и приложение должно при этом работать несмотря на то, что бы пользователь не выбирал.

                              Аналогично и со всеми остальными разрешениями. ПОЛЬЗОВАТЕЛЬ должен иметь разрешать/запрещать доступ к конкретным разрешениям, а приложение должно выдавать максимум из того, что ему разрешили, а не полностью отказывать из-за отсутствия одного разрешения.
                        • +1
                          Я как Гик почитал документацию по API и официальный FAQ по приватности.
                          Нигде даже намека нет на то что через API доступны приватные фотографии:
                          vk.com/faq8389

                          Вот представьте что вы читаете форум на котором общаются пишевые технологи, и один из них пишет что-то типа:
                          «Коллеги, вы используете в своем производстве добавку Е*** но она же приводит к образованию рака и запрещена для использования в европе».
                          На что ему отвечают: «Ты как профессионал должен знать что продукты с Е*** не нужно покупать? Зачем ты их покупаешь?»

                          Я считаю что любой профессионал в своей области должен иметь и какую то социальную ответственность, сегодня ты поможешь юристу завтра юрист поможет тебе, это путь к здоровому обществу.

                          Именно поэтому на мой взгляд позиция: «Профессионалы это знают, а если кто то не знает то сам виноват» для меня неприемлема.
                          • 0
                            Вот например, приложение из топа:
                            vk.com/apps?act=popular&w=app1699855

                            Установлено у 3 700 000 участников, требует доступ к фото.

                            vk.com/apps?act=popular&w=app4333086
                            Установлено у 6 400 000
                            Тоже требует фото.

                            Да покажите мне хоть одну игру из топа которая не требует доступ к фото.

                            Вы как профессионал считаете что так и должно быть? И что большая часть из 6,4 млн людей сознательно дали этому приложению доступ к своим приватным фотографиям?

                            Я все еще надеюсь что Protos что то перепутал и все не так просто как он описал.
                          • +9
                            Еще раз о приватности в Вконтакте

                            Её нет.
                            • 0

                              Да это вообще жесть: недавно проходил авторизацию WiFi, и она хотела доступ к моим фотографиям. Я, конечно, вконтакте вообще ничего не храню, но масштабы ужасают.

                              • 0
                                Я бы советовал завести отдельный аккаунт и заходить в него из отдельного браузера, если вам хочется пользоваться приложениями (а лучше вообще не вносить свои настоящие данные в соцсети). Эта особенность файндфейс давно известна, чтобы делать поиск, надо сначала дать доступ к своим фото. О чем вам и написано синим по белому.

                                В соцсети всегда лучше заходить из отдельного браузера, так как иначе, когда вы ходите по сайтам, расположенные на них трекеры, кнопки лайков, виджеты комментариев и тд запоминают, куда вы заходили.
                                • 0
                                  ghostery и ublock разве не спасают от подобного поведения?
                                  • 0

                                    Скорее да чем нет, по факту они вообще имеют полный доступ к содержимому страниц. Но наверное им больше можно доверять нежеле "Васе Пупкину".

                                    • 0
                                      По крайней мере uBlock Origin имеет открытый код и не навязывает свои списки. У ghostery вроде тоже есть репозиторий.
                                      • 0

                                        Ну если браузер позволят проверить исходный код, тогда ок, я просто не в курсе

                                        • 0
                                          Не браузер, нужно самому компилировать подписывать и ставить. Или иногда просто сверять собственноручно скомпилированную версию с версией в магазине, и поднимать вой при расхождениях.
                                          • 0

                                            С повторяемостью сборок не везде хорошо, регулярно появляются новости о проектах призванных обеспечить "повторяемость" наверное не просто ради интереса.

                                    • 0

                                      В такой постановке осень интересно может звучать другой вопрос:
                                      А в какой момент ваши данные будет использовать uBlock и в каких целях?
                                      Увы, но кроме доверия, никаких гарантий. Многие пользователи ставя на телефон приложения даже не смотрят на разрешения, вот на днях приложение от Лего boost запросило достаточно п к телефонным звонками и идентификацию звонящих, спрашивается зачем? :)

                                      • 0
                                        Их надо правильно настроить. Где гарантия, что вы не пропустите какую-нибудь куки или AJAX-запрос?
                                        • 0
                                          Против соцсетей есть подписки, вроде даже в стандартной поставке uBlock, достаточно галочку отметить.
                                    • –1
                                      Давно уже понятно, что использовать социальные сети, а уж тем более вконтач, это как сидеть в биотуалете на оживленной улице с открытой дверью.
                                      Я во всех соцсетях имею просто профиль, пару фоток и стараюсь ни с кем там не переписываться.
                                      • –1
                                        Тоже не понимаю этого соцсетевого эксгибиционизма. Зачем хранить в соцсетях хоть сколько-нибудь значимую информацию, когда есть миллион других более надёжных хранилищ?
                                        • 0
                                          «Зачем хранить в соцсетях хоть сколько-нибудь значимую информацию, когда есть миллион других более надёжных хранилищ?»

                                          В контакте 97 000 000 человек. Как вы думаете какой % из них знает что такое «хранилище»?

                                          Возможно я ошибаюсь, не претендую на какую то объективность, читая комментарии меня не покидает ощущение небольшого налета снобизма в большинстве из них.
                                          Есть избранные гуру которые все знают и понимают, и немного свысока и «с непониманием» смотрят на остальных людей.

                                          Вы уверены что у вашей мамы или сестры или будущей жены(с которой вы не познакомились еще) нет закрытых альбомов с фотографиями которые они бы не хотели отдавать всем подряд?

                                          А может ваши друзья хранят фото с вами (например с выпускного) в закрытом альбоме?
                                          • 0
                                            4 из 4 неудачных примера, купите лотерейный билет. По теме — я считаю, что человек должен интересоваться окружающим его миром и постоянно поддерживать уровень своих знаний в адекватном состоянии. Если он ленится, неспособен или по каким-то другим причинам этого не делает, то возникающие в таком случае проблемы не являются объективными недостатками реальности, а всего лишь упущение этого конкретного человека. Как, например, кариес. Никто же не обвиняет микробы, что они разрушают зубы?
                                            • 0

                                              Сейчас никто уже не в состоянии поддерживать уровень своих знаний по всем аспектам окружающего мира в адекватном состоянии.
                                              И если брать пример с кариесом, то вы тоже вряд ли полностью понимаете все механизмы и причины. И новейшие исследования. И просто покупаете зубную щётку, зубную пасту и чистите зубы. При том что в научноми медицинском мире до сих идут споры о том как и чем правильнее всего чистить зубы и чем их чистить может быть даже и вредно. И таких аспектов мириады и во всех не разобраться.


                                              И это нам с вами просто разбираться в проблемах приватности в онлайне мире. А для кого-то это тёмный лес и им остаёстя либо вообще не пользоваться интернетом, либо полагаться в этих вопросах на мнения других людей.

                                        • +1
                                          >> имею просто профиль, пару фоток и стараюсь ни с кем там не переписываться

                                          … но поскольку в тех социальных сетях эту мою позицию никто не замечает (что логично, по причине отсутствия друзей/подписок), а рассказать о ней хочется, то я напишу об этом в еще одной (почти) социальной сети.
                                          • 0
                                            С друзьями надо в реальной жизни дружить, а не в соцсетях.
                                            • 0
                                              «Друзья» — в терминологии социальных сетей. То что в LinkedIn называется «connection», ЕМНИП.
                                        • 0
                                          На телефоне недавно увидел предустановленное приложение «Погода», которое отказывалось показывать прогноз погоды, пока ему не давали доступ к «местоположению» (что разумно), и «контактам» (что странно).
                                          • 0

                                            Доступ к местоположению разве ВКонтакте запрашивает, может это системное разрешение операционной системы устройства? В любому случае я сам указываю нужный мне город обычно, хотя для путешественников это не удобно.

                                          • 0

                                            На самом деле вся эта ситуация с приватностью в социальных сетях, напоминает мне Воннегута с его 14-м томом сочинений Боконона. Потому что этот 14-й том отвечает и на вопрос существует ли приватность в социальных сетях. И, как писал классик: "Прочесть Четырнадцатый том недолго. Он состоит всего из одного слова и точки: «Нет». "

                                          • +1
                                            Спасибо за напоминание, почистил список от ненужного

                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                            Самое читаемое