- PVSM.RU - https://www.pvsm.ru -
Короткий пост для тех кто никогда не задумывался о том какие разрешения стоит предоставлять сторонним сервисам при аутитентификации с учетными данными, например, Вконтакте.
В чем тут может быть подвох?
Допустим вы используете Findface для поиска человека по фото, вы авторизуетесь и приложение у вас запрашивает доступ к следующей информации:
Все отлично думаете вы, наверное, доступ к вашим фото нужен чтобы найти другого человека. Довольное странное предположение.
Итак получив токен доступа, владелец сервиса имеет некоторое время на то чтобы скачать все ваши фотографии, особенно из тех альбомов, что помечены так:
"privacy_view": ["<b>only_me</b>"],
"privacy_comment": ["<b>only_me</b>"]
Т.е. не только этих:
"privacy_view": ["all"],
"privacy_comment": ["all"]
Убедиться в этом вы можете просто выполнив 2 запроса: этот [1], а затем подставив нужный идентификатор альбома этот [2] — вы успешно расшарили прямые ссылки на фотографии в закрытых альбомах.
Выводы:
Автор: Сергей Голяков
Источник [3]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/278612
Ссылки в тексте:
[1] этот: https://vk.com/dev/photos.getAlbums
[2] этот: https://vk.com/dev/photos.get
[3] Источник: https://geektimes.ru/post/300265/?utm_campaign=300265
Нажмите здесь для печати.