Szerző: Dojcsák Dániel

2010. április 28. 08:43

Nagyobb biztonságban lesznek a Twitterezők

Kilenc hét múlva a Twitter kikapcsolja a kezdetektől működő alapszintű azonosítási rendszerét, amit a külső alkalmazások használhattak. Ettől fogva kizárólag az Oauth nevű megoldással kapcsolhatják majd hozzá magukat a külső szolgáltatások és alkalmazások a mikroblog rendszerhez.

Elsőre a változás nem tűnik forradalminak, de valójában a fejlesztők és a felhasználók szempontjából is fontos változás. A fejlesztők és a szolgáltatók közül azokat fogja érinteni, akik eddig nem tértek még át az Oauth megoldásra, s a klasszikus bejelentkeztetést csináltatták meg felhasználóikkal. Ezek az oldalakat könnyen megismerhetjük onnan, hogy bejelentkezéskor közvetlenül a szájton kell megadni a felhasználói nevet és jelszót.

Oauth, a jó auth

Az Oauth esetében ugyanez úgy történik, hogy az adott weboldalon, ha be szeretnénk jelentkezni, akkor az átdob minket a Twitter azonosítófelületére, ahol közvetlenül a Twitternek adjuk meg a jelszavunkat, s nem egy harmadik félnek. Az azonosítást követően az Oauth révén engedélyt adunk a külső szolgáltatónak, hogy hozzáférjen twitteres tartalmainkhoz. A régi megoldásra példa a hazai szereplők közül a Turulcsirip, az Oauth verzióra pedig például a Yamm.

\"\"

Szintén érintettek a mobilos, vagy böngészőbe épülő, esetleg asztali kliensek, ahol eddig közvetlenül a program tárolta a loginnevet és a jelszót: a jövőben ezek sem használhatják a régi azonosítási rendszert. Itt viszont kivitelezhetetlen lenne a webalapú Oauth azonosítás, ők kapnak egy kiskaput, a stílusosan xAuth-nak elnevezett kliensazonosító megoldást. Itt a felhasználó látszólag a régi módon jelentkezik be, nem szükséges az Oauth webes felületen landolnia, de valójában a háttérben mégis ez történik. A lényeg, hogy harmadik fél számára ne kelljen kiadni a bejelentkezési információkat.

Lehetnek problémák

Sokan megkérdőjelezik, hogy ez egy jó döntés-e a Twitter részéről, hiszen erősen megbolygatja ezzel a kliens- és alkalmazás-ökoszisztémát. Igaz a felhasználók számára előnyös a változás, de sok fejlesztőnek okozhat majd fejtörést a következő időkben. Szerencsére a változás nem azonnali, hanem több mint 9 hetet kaptak azok, akik eddig nem a biztonságosabb azonosítást használták. Az \"oauthcalypse\" nevű projekt még egy visszaszámlálót is kapott, hogy az érintettek lássák, mennyi idejük van még cselekedni.

Az egyetlen API, ami kivételt képez a rendelkezés alól, az az úgynevezett streaming API, aminek segítségével az alkalmazások közel valós időben tudnak bizonyos adathalmazokat megkapni a Twittertől. Ez továbbra is használhatja az alap azonosítást. A többieknek viszont június 30-ig változtatni kell, s azok a fejlesztők, akik addig nem állítják át alkalmazásukat vagy szolgáltatásukat Oauth-ra, nem tudják majd tovább üzemeltetni azt. A felhasználók viszont örülhetnek, mert júliustól eggyel kevesebb rizikófaktor lesz a mikrobloghoz kapcsolódó extrák használatakor.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról