Memahami Otorisasi Otomatis pada Aplikasi Facebook

Pengguna Facebook mungkin akan menemui suatu peringatan bahwa pihak ke 3 yang membuat aplikasi tersebut dapat mengambil informasi pribadi sebelum mengakses aplikasi tersebut.

Namun ada cara bagi pihak ke 3 tadi untuk memotong tampilan peringatan tersebut dan permintaan otorisasi eksplisit, menggunakan Automatik Otentikasi yang ditetapkan lebih lanjut di http://wiki.developers.facebook.com/index.php/Automatic_Authentication. Automatik Otentikasi adalah jika pengguna mengunjungi halaman kanvas aplikasi, entah itu halaman kanvas FBML-atau iframe-based, Facebook akan meluluskan pengguna tersebut bahkan jika pengguna tidak berwenang untuk membuka aplikasi tersebut.

Dengan Aplikasi tersebut dapat mengakses data berikut untuk sebagian besar pengguna, kecuali pengguna yang memilih tidak menampilkan daftar pencarian umum :

1. * Nama
2. * Teman-teman
3. * Halaman
4. * Foto profil
5. * Gender
6. * Saat ini lokasi
7. * Jaringan (afiliasi daerah saja)
8. * Daftar teman

Fitur Otomatis Authentication bukan hal baru, sudah sejak Juli 2008. Alasan saya membawa anda memperhatiankan hal tersebut karena alasan berikut :

1. Individu yang telah melakukan upaya untuk belajar tentang pengaturan privasi Facebook tidak mungkin menyadari kemampuan ini. Banyak dari pengguna mungkin senang dengan mengklik URL dalam Facebook karena mereka bergantung pada platform agar dapat meminta otorisasi eksplisit pada halaman aplikasi pihak 3.
2. Pihak ketiga atau pembuat aplikasi tersebut dapat mengetahui data pribadi anda, jika itu digunakan untuk tindakan yang tidak baik maka anda akan dirugikan.

Dalam penjelasan mereka di wiki pengembang, agar secara eksplisit menyatakan bahwa aplikasi 3rd party yang menggunakan fitur ini hanya dapat mengumpulkan informasi tentang pengguna tertentu yang mungkin dapat pula dicari dalam pencarian publik.

Namun, jaminan dari Facebook ini tidak tepat karena alasan tersirat didasarkan pada asumsi : perbuatan pengguna memilih untuk membuat beberapa informasi mereka tersebar dalam pencarian dengan cara apapun yang memberikan kemampuan untuk berbuat sesuatu yang tidak sah oleh pihak ke 3 tadi. Berikut ini adalah contoh sederhana: nama saya Nitesh Dhanjani dan informasi di blog saya adalah publik - namun vendor web browser saya tidak dapat menggunakan ini sebagai alasan yang masuk akal untuk uncloak identitas saya untuk aplikasi web pihak ke 3 yang saya kunjungi.

Misalnya, pengguna pada aplikasi Facebook akan melihat _fb_fromhash disebut parameter yang hadir terlepas dari mekanisme otorisasi aplikasi, pihak ke-3 dapat memilih untuk menggunakannya. Hal ini dapat berpotensi dimanfaatkan untuk membuat kontrol sisi browser (contoh: Firefox plug-in) untuk memperingatkan pengguna bahwa ia mungkin mengakses aplikasi pihak ke-3 yang memiliki kemampuan untuk secara otomatis menangkap identitasnya. Dengan kata lain, saya meramalkan kebutuhan model sisi klien untuk menjembatani kesenjangan antara kendali pribadi yang diberikan oleh vendor platform sosial versus kebutuhan pengguna individu. Sosial-privasi-client-IDS, jika Anda ingin menyebutnya demikian.

Memang, ada aturan yang jelas praktis yang terkait dengan penggunaan aplikasi sosial online: Namun, ini tidak berarti bahwa merek dalam bisnis memberikan kami platform sosial bisa pergi scott gratis. Saya sungguh berharap data yang terdapat dalam posting ini telah memberikan anda beberapa informasi tambahan tentang 'otentikasi otomatis' cara kerja, termasuk implikasi yang Anda tidak menyadari hal itu sebelumnya.