(中新網)前不久,一個傳聞在微博用戶中引起騷動。有微博用戶說,在別的網站也看到了微博的登錄入口;使用自己的微博賬號也能夠登錄進去,不但能看到自己發的信息、評論,甚至能看到私信。他們質疑,微博運營商是否把用戶的數據賣給了這些“克隆微博”網站,或者泄露了用戶的隱私數據?進一步聯想,iPhone、安卓手機上也有很多微博客戶端,是否會發生密碼泄露呢?
幾家微博運營商的技術人員均表示,開放第三方網站一般不會發生用戶信息和密碼泄露。如果不放心,可以在設置中取消第三方授權。
第三方網站“看”到“改”不到
記者聯系了幾家微博運營商的技術人員,他們表示,對于符合開放平臺標準的第三方客戶端和網站來說,一般不會發生用戶的信息和密碼泄露情況。
據技術人員介紹,目前國內微博通常都采用OAuth的開放授權方式來向第三方程序提供開放接口。這種方式的特點在于“代理登錄”。也就是說,用戶在初次使用這些第三方客戶端或網頁時,第一步都是第三方向微博官方提出請求,微博官方給出一個授權頁面;用戶在這個頁面上填入自己的微博用戶名和密碼,表示授權目前這個第三方程序訪問自己的微博內容;微博方給予第三方程序一個授權碼,此后第三方程序在訪問用戶微博內容時都使用這個授權碼,而非用戶自己的密碼。
從上述過程中我們可以看到,第三方程序或網頁在整個過程中并無機會接觸到用戶的密碼,用戶輸入密碼的過程實際上都是在微博官方頁面上完成;而在授權后,第三方是通過授權碼來訪問用戶的內容的。用戶的內容也是始終存放在微博運營商的服務器上,并沒有發生泄漏,不同第三方程序訪問用戶的微博、私信,只是通過代理獲取到了內容,呈現給用戶。
OAuth機制是隨著微博鼻祖———推特一起發展起來的授權機制。推特、Facebook這些Web2.0的代表性企業,其發展的一大動力就是開放平臺,允許大量第三方程序為用戶提供額外的服務。開放的首要保障是安全,而OAuth機制通過代理訪問的方法,解決了這一問題———第三方程序在用戶的授權下可以“看到”用戶數據,但不能更改。國內的微博在發布自己的開放平臺時,也都采取了這一機制。
不放心可以取消第三方授權
有些讀者可能覺得,讓第三方程序、網站看自己的微博、數據,仍然有點不舒服,盡管這樣經過了自己的授權。有這種想法的讀者,可以去微博官網登錄自己的賬號,進入賬號設置一項,有個“應用授權”菜單,顯示該用戶目前授權給了哪些第三方程序、網頁讀取自己的微博內容。在每個第三方后面,都有個取消授權的按鈕,用戶 可以隨時取消看上去不大放心的第三方的授權。只訪問微博官網、只使用微博官方客戶端,這樣就能最大程度地保護自己的信息安全。
通過這個過程的解讀,我們也可以看到,“克隆微博”網站并不是把用戶的微博內容拷貝了一份出來,而只是通過第三方授權去訪問了用戶的內容。因此,不用擔心自己的微博內容已經泄露了。只要沒丟失密碼,微博內容都好好地躺在微博運營方的服務器上呢。