211service.com
Una llave de valet para su identidad
A medida que se multiplican los servicios en línea que utilizan datos personales, es cada vez más común que los usuarios necesiten pasar datos de un servicio a otro. Esto a menudo requiere que los usuarios entreguen nombres de usuario y contraseñas, a pesar de los obvios riesgos de seguridad involucrados. Un nuevo proyecto de código abierto llamado OAuth , lanzado a principios de este mes, tiene la intención de resolver este problema al permitir que los usuarios brinden a los servicios una clave de valet para sus identidades, en lugar de un acceso completo.

Acceso al token: Los servicios web pueden utilizar OAuth para compartir datos confidenciales sin obligar a un usuario a dar acceso completo a su identidad. El diagrama anterior mapea el flujo de solicitudes a medida que los servicios solicitan datos y autorizaciones entre sí.
Chris Messina , quien ayudó a organizar la producción de OAuth, dice que el sistema le dará a las personas control sobre la forma en que gestionan sus datos a través de los servicios web, y también les ayudará a estar un poco más seguros. El sistema permite a un usuario obtener un token a través de un sitio y pasarlo a otro. Luego, el token dicta a qué puede acceder el segundo sitio y de qué manera. Para lograr esto, el protocolo debe definir formas estándar para que los sitios identifiquen datos y especifiquen lo que van a hacer con ellos. Para funcionar, OAuth requiere que ambos sitios hayan implementado el protocolo. El usuario no tiene por qué ser consciente de ello.
Junto con Messina, Blaine Cook de Gorjeo y Larry Halff de Magnolia trabajó para iniciar el proyecto.
La entrega de nombres de usuario y contraseñas es una característica cada vez más común de los sitios de redes sociales, incluidos los sitios conocidos como Facebook y LinkedIn . En la fase de registro inicial, un sitio le pide al usuario que ingrese las credenciales de sus cuentas de correo electrónico para que pueda buscar personas que pueda conocer. También es habitual que los sitios brinden a los usuarios la oportunidad de invitar a sus contactos existentes a unirse a la red. Pero Messina dice que hay otro resultado involuntario de la práctica: está capacitando al usuario para pasar nombres de usuario y contraseñas como confeti, dice.
Multimedia
Vea cómo funciona OAuth.
Eran Hammer-Lahav , quien se desempeñó como editor de la especificación principal de OAuth, dice que a principios de este año se produjo una advertencia cuando un sitio de redes sociales llamó Quechup usó su acceso a cuentas de correo electrónico a través de esta función para enviar invitaciones a cada persona en la lista de contactos de un nuevo usuario. Peor aún, para muchas personas, los correos electrónicos parecían provenir del usuario y no de la empresa. Hammer-Lahav dice que la advertencia se dirige menos a un sitio en particular que a un sistema que necesita mejoras. El núcleo se trata realmente de lo que llamamos el triángulo amoroso, dice. El triángulo amoroso, explica, es la relación entre el usuario y los dos servicios web que necesitan compartir datos.
Agrega que ahora se está volviendo común para sitios de administración financiera como Como solicitar contraseñas para agregar información para los usuarios. Además de representar un riesgo para la seguridad, dice Hammer-Lahav, en realidad no es la mejor manera para que los sitios compartan información. Los sitios de agregadores a menudo tienen que extraer información financiera de las páginas bancarias capacitando a su software para buscar ciertas pistas en la fuente de la página que señalan datos clave. El problema, dice, es que si el banco rediseña el aspecto de una página, esas pistas podrían cambiar, haciendo que el agregador no pueda leer la información. Un sistema como OAuth, dice Hammer-Lahav, permite que los sitios compartan información directamente.
La idea de este tipo de sistema no es nueva, dice Terrell Russell , cofundador del sistema de gestión de identidad en línea ClaimID . Google , por ejemplo, tiene un protocolo propietario existente que tiene capacidades similares a las de OAuth. Sin embargo, dice Russell, la falta de un estándar único obstaculiza a los desarrolladores y los anima a solicitar nombres de usuario y contraseñas. Russell dice que resolver el problema de permitir que los servicios web compartan datos de forma segura solo será más importante a medida que más datos migren a la web.
Twitter y Ma.gnolia están implementando OAuth, y partes del estándar aparecen en la OpenSocial plataforma. Aunque la versión inicial es un protocolo central que contiene los conceptos básicos del intercambio de tokens entre sitios, Hammer-Lahav dice que las versiones posteriores darán a los usuarios un control más preciso sobre cómo otorgan acceso a sus datos.