微博安全：第三方網(wǎng)站“看”到“改”不到

　　（中新網(wǎng)）前不久，一個(gè)傳聞在微博用戶中引起騷動(dòng)。有微博用戶說，在別的網(wǎng)站也看到了微博的登錄入口；使用自己的微博賬號(hào)也能夠登錄進(jìn)去，不但能看到自己發(fā)的信息、評(píng)論，甚至能看到私信。他們質(zhì)疑，微博運(yùn)營(yíng)商是否把用戶的數(shù)據(jù)賣給了這些“克隆微博”網(wǎng)站，或者泄露了用戶的隱私數(shù)據(jù)？進(jìn)一步聯(lián)想，iPhone、安卓手機(jī)上也有很多微博客戶端，是否會(huì)發(fā)生密碼泄露呢？

　　幾家微博運(yùn)營(yíng)商的技術(shù)人員均表示，開放第三方網(wǎng)站一般不會(huì)發(fā)生用戶信息和密碼泄露。如果不放心，可以在設(shè)置中取消第三方授權(quán)。

　　第三方網(wǎng)站“看”到“改”不到

　　記者聯(lián)系了幾家微博運(yùn)營(yíng)商的技術(shù)人員，他們表示，對(duì)于符合開放平臺(tái)標(biāo)準(zhǔn)的第三方客戶端和網(wǎng)站來說，一般不會(huì)發(fā)生用戶的信息和密碼泄露情況。

　　據(jù)技術(shù)人員介紹，目前國(guó)內(nèi)微博通常都采用OAuth的開放授權(quán)方式來向第三方程序提供開放接口。這種方式的特點(diǎn)在于“代理登錄”。也就是說，用戶在初次使用這些第三方客戶端或網(wǎng)頁(yè)時(shí)，第一步都是第三方向微博官方提出請(qǐng)求，微博官方給出一個(gè)授權(quán)頁(yè)面；用戶在這個(gè)頁(yè)面上填入自己的微博用戶名和密碼，表示授權(quán)目前這個(gè)第三方程序訪問自己的微博內(nèi)容；微博方給予第三方程序一個(gè)授權(quán)碼，此后第三方程序在訪問用戶微博內(nèi)容時(shí)都使用這個(gè)授權(quán)碼，而非用戶自己的密碼。

　　從上述過程中我們可以看到，第三方程序或網(wǎng)頁(yè)在整個(gè)過程中并無機(jī)會(huì)接觸到用戶的密碼，用戶輸入密碼的過程實(shí)際上都是在微博官方頁(yè)面上完成；而在授權(quán)后，第三方是通過授權(quán)碼來訪問用戶的內(nèi)容的。用戶的內(nèi)容也是始終存放在微博運(yùn)營(yíng)商的服務(wù)器上，并沒有發(fā)生泄漏，不同第三方程序訪問用戶的微博、私信，只是通過代理獲取到了內(nèi)容，呈現(xiàn)給用戶。

　　OAuth機(jī)制是隨著微博鼻祖———推特一起發(fā)展起來的授權(quán)機(jī)制。推特、Facebook這些Web2.0的代表性企業(yè)，其發(fā)展的一大動(dòng)力就是開放平臺(tái)，允許大量第三方程序?yàn)橛脩籼峁╊~外的服務(wù)。開放的首要保障是安全，而OAuth機(jī)制通過代理訪問的方法，解決了這一問題———第三方程序在用戶的授權(quán)下可以“看到”用戶數(shù)據(jù)，但不能更改。國(guó)內(nèi)的微博在發(fā)布自己的開放平臺(tái)時(shí)，也都采取了這一機(jī)制。

　　不放心可以取消第三方授權(quán)

　　有些讀者可能覺得，讓第三方程序、網(wǎng)站看自己的微博、數(shù)據(jù)，仍然有點(diǎn)不舒服，盡管這樣經(jīng)過了自己的授權(quán)。有這種想法的讀者，可以去微博官網(wǎng)登錄自己的賬號(hào)，進(jìn)入賬號(hào)設(shè)置一項(xiàng)，有個(gè)“應(yīng)用授權(quán)”菜單，顯示該用戶目前授權(quán)給了哪些第三方程序、網(wǎng)頁(yè)讀取自己的微博內(nèi)容。在每個(gè)第三方后面，都有個(gè)取消授權(quán)的按鈕，用戶 可以隨時(shí)取消看上去不大放心的第三方的授權(quán)。只訪問微博官網(wǎng)、只使用微博官方客戶端，這樣就能最大程度地保護(hù)自己的信息安全。

　　通過這個(gè)過程的解讀，我們也可以看到，“克隆微博”網(wǎng)站并不是把用戶的微博內(nèi)容拷貝了一份出來，而只是通過第三方授權(quán)去訪問了用戶的內(nèi)容。因此，不用擔(dān)心自己的微博內(nèi)容已經(jīng)泄露了。只要沒丟失密碼，微博內(nèi)容都好好地躺在微博運(yùn)營(yíng)方的服務(wù)器上呢。