惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

A
About on SuperTechFans
D
DataBreaches.Net
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
V
Visual Studio Blog
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
B
Blog RSS Feed
Recent Announcements
Recent Announcements
The Register - Security
The Register - Security
S
Secure Thoughts
Y
Y Combinator Blog
The Last Watchdog
The Last Watchdog
L
LINUX DO - 最新话题
V2EX - 技术
V2EX - 技术
腾讯CDC
GbyAI
GbyAI
G
Google Developers Blog
博客园 - 司徒正美
博客园 - 三生石上(FineUI控件)
T
The Exploit Database - CXSecurity.com
T
Threat Research - Cisco Blogs
P
Proofpoint News Feed
Schneier on Security
Schneier on Security
Microsoft Security Blog
Microsoft Security Blog
Jina AI
Jina AI
WordPress大学
WordPress大学
aimingoo的专栏
aimingoo的专栏
MyScale Blog
MyScale Blog
Help Net Security
Help Net Security
K
Kaspersky official blog
P
Privacy & Cybersecurity Law Blog
www.infosecurity-magazine.com
www.infosecurity-magazine.com
AI
AI
MongoDB | Blog
MongoDB | Blog
Scott Helme
Scott Helme
J
Java Code Geeks
Engineering at Meta
Engineering at Meta
H
Heimdal Security Blog
H
Help Net Security
D
Darknet – Hacking Tools, Hacker News & Cyber Security
云风的 BLOG
云风的 BLOG
Microsoft Azure Blog
Microsoft Azure Blog
S
Security Affairs
TaoSecurity Blog
TaoSecurity Blog
The GitHub Blog
The GitHub Blog
Hacker News: Ask HN
Hacker News: Ask HN
Martin Fowler
Martin Fowler
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Project Zero
Project Zero
T
The Blog of Author Tim Ferriss
Last Week in AI
Last Week in AI

月光博客

AI编程从零开始:环境配置到开发调试-月光博客 母亲被保健品诈骗-月光博客 向身体低头,向岁月妥协:我的高血压“还债日记” -月光博客 月光博客电子书:《信息安全指南》 谷歌发布2025年度搜索排行榜 中国2025社会热点大事记 2025年十大流行语发布 7天3次,骗子骗走我母亲95万元 “技术男”设三重安全墙,母亲95万存款还是被骗走了 电信诈骗后的复盘:母亲的95万元,是怎么从手机银行里消失的 母亲被电信诈骗95万元的全过程 阿根廷警察被谷歌街景相机拍到裸照 网信办开展“清朗·整治恶意挑动负面情绪问题”专项行动 翟欣欣敲诈勒索案一审获刑12年 《绝命毒师》影评:力工觉醒后的梭哈至死 《人工智能生成合成内容标识办法》正式施行 用AI分析你的财务信息 腾讯子公司实习HR怒怼求职者后被开除 OpenAI发布最强模型GPT-5,免费向所有用户开放 用AI解构你的日记 用AI分析你的游戏偏好 用AI分析你的观影偏好 用AI分析你的听歌偏好 《白鹿原》人物分析:乱世浮沉中的人性剖析 乌托邦的捷径:让AI治理“失败国家” 苹果AI的“路径错误”:为什么它在大模型时代掉队了? 《暗黑破坏神3》第35赛季开荒指南 我对特朗普的看法 欧·亨利十大经典小说鉴赏 HBO电视剧《最后生还者》第二季影评 播客自动化更新分发教程 《围城》人物分析:知识分子的时代困局 NotebookLM音频概览支持中文 《暗黑破坏神3》国服回归 《暗黑破坏神3》国服赛季开荒指南 《网络数据安全管理条例》正式发布实施 契约之下的自由:社会契约论 如何去除文章的AI味道 电影《好东西》影评 我的价值观:义务论和效益论 《魔兽世界》正式服PVP教程 电影《哪吒2》影评 中医理论不是科学理论 DeepSeek与主流AI模型对比评测 TikTok停止在美国服务 我的三观(世界观、价值观、人生观) 《无限暖暖》游戏评测 2024年财经年度总结 月光博客2024年推荐阅读文章 IMDb公布2024年热门电影和电视剧 2024年十大流行语发布 谷歌发布2024年度搜索排行榜 中国2024社会热点大事记 Google Adsense税务居住地证明申请教程 极狐GitLab回应前员工实名举报公司高管:恶意诽谤造谣 升级FTTR千兆光纤带宽 字节跳动起诉前实习生索赔800万 看完历届奥斯卡最佳影片后的体验 李子柒已经正式改名并恢复更新 苹果历年新春短片 “姜萍事件”调查结果公布 胡锡进社交平台恢复更新 上海女子沙白自杀的伦理道德分析 京东与杨笠一起玩火 字节跳动大模型训练被实习生攻击,涉事者已被辞退 《加勒比海盗》系列电影 《夺宝奇兵》系列电影时间线 《侏罗纪公园》系列电影时间线 《终结者》系列电影时间线 华为禁止用户从外部手动安装安卓应用(APK文件) 《炉石传说》国服回归一片混乱 官媒辟谣苹果手机被远程引爆 小米回应摄像头里出现陌生男子说话 环球人物:民族大义不是流量密码,盲目排外没有土壤 《异形》系列电影时间线 看完IMDb250后的体验 暴雪《炉石传说》国服开启预约 网易DD参与代打《魔兽世界》事件的深入分析 福建男子四年前“翻墙”浏览境外网站被行政处罚 《魔兽世界》正式服开服两周游戏体验 暴雪游戏足迹查询:查看暴雪游戏的数据 用AI分析你的推特社交网络数据 胡锡进停更三个月 国家网络身份认证公共服务管理办法向社会公开征求意见 苹果将部分产能转回中国 Windows全球大范围蓝屏 电影《V字仇杀队》影评 微软中国员工禁用安卓手机:只能用iPhone 《魔兽世界》怀旧服“巫妖王之怒”游戏体验 百度旗下萝卜快跑已在多个城市开放载人测试 我为什么不喜欢华为这家企业 胡锡进:强烈谴责苏州袭击日本人的凶手 20美元在美国超市的购买力 华为紧急辟谣“是国内最大的牛肉进口商” 苹果公司公布2024年Apple设计大奖获奖名单 自动生成电影剧本:人工智能技术的崭新里程碑 电影《芳华》人物分析 Steam账号被盗号的解决方法 中文互联网内容正在逐步消失 马斯克:推特域名已全部转移到X
使用ifttt背后的巨大风险
投稿 · 2011-07-19 · via 月光博客

ifttt,是一个新生的网络服务平台,通过不同其他平台的条件来决定是否执行下一条命令。ifttt基于任务的条件触发,类似编程语言,让用户可以根据他们设计的流程设计一些小程序,让网络服务能够对某些行为作出反应。

ifttt 是一项创造性的应用,但是我和我的朋友们必须重视其背后隐藏的风险。

使用ifttt背后的巨大风险

一、什么是 ifttt

使用ifttt背后的巨大风险

如果这样就那样。this 称为 trigger,而 that 称为 action。每条 ifthisthenthat 称为 task。

ifttt 可以实现多种互联网应用的协同工作。(更多关于 ifttt 的介绍请访问其网站或 Google。)

为了实现 ifttt 的功能,ifttt 必须获得授权。

二、什么是授权

授权在此处指允许被授权的第三方应用获得一定的访问你的其它应用的权限。

例如,授权 ifttt访问 Gmail:第三方即 ifttt,而被授权访问的其它应用即 Gmail。

授权主要有 2 种方式:直接授权和 OAuth授权。

1、什么是直接授权

直接授权即直接向第三方提供用户名和密码。

以 eBuddy为例,为了在 eBuddy上使用 Gtalk等,必须直接在 eBuddy上输入用户名和密码。

使用ifttt背后的巨大风险

这种方式的缺点显而易见,第三方在取得授权的同时获得了用户名和密码。

2、什么是 OAuth 授权

OAuth授权避免了将密码提供给第三方的缺陷。

以 Stack Overflow 为例,OAuth授权步骤如下:

1) 用户选择以 Google 账户登录。

使用ifttt背后的巨大风险

2) 用户向 Google提供用户名和密码登录 Google 账户。如果已经登录,则自动跳过本步。

使用ifttt背后的巨大风险

3) 用户查看并接受授权。

使用ifttt背后的巨大风险

4) 登录成功。

使用ifttt背后的巨大风险

3、OAuth 不是银弹

OAuth授权在原始应用中完成,因此第三方应用不会获得密码,然而,第三方应用仍然切实获得了被授予的所有权限。如果第三方应用被攻陷则攻击者也将获得相同的权限。

三、ifttt要求极其巨大的权限

作为参照,Stack Overflow 仅要求获得 Google 账户的电子邮件地址。

使用ifttt背后的巨大风险

事实上,这几乎是 OAuth登录可以要求的最小权限。因为无论如何,若要将你和其他用 Google 账户登录的用户区分开来,必须获得你的Google 账户的唯一标识符,即电子邮件地址。如果 Stack Overflow 被攻陷,攻击者唯一所能获得的就是大量有效的电子邮件地址(可以用于发送垃圾邮件,但也仅此而已)。

ifttt要求 Gmail 的访问权。(从 ifttt可以实现的功能来看,该权限实际上为完全访问权,包括但不限于发送/接收/删除邮件,访问/修改通讯录等。) Google 也作出了更为谨慎的建议,但是对于非专业人员而言还是过于轻描淡写了。

使用ifttt背后的巨大风险

ifttt的 Facebook 授权可以更直观的显示 ifttt 所要求的权限之大。

使用ifttt背后的巨大风险

也就是说,ifttt为了实现与 Gmail 相关的 Task 必须获得 Gmail 的完全访问权限。这意味着如果 ifttt不幸被攻陷则我的 Gmail 账户也将同时沦陷。这意味着我必须将 Gmail 账户的安全从坚不可摧的 Google 转移到 ifttt。

更可怕的是,为了实现 ifttt的协同工作,我必须将我的 Facebook,Twitter,LinkedIn 在内的大量在线账户都交给 ifttt。

鸡蛋现在都在同一个篮子里,而且这个篮子还不一定牢靠。

以 ifttt用户协议中关于自身责任的段落作结。

使用ifttt背后的巨大风险

来源:Dante Jiang投稿

使用ifttt背后的巨大风险