问题概述(Problem Summary)
用户被要求输入其他网站的登录名和登录密码,以便网站能访问到该用户在其他网站的地址簿 ,联系人列表或者其他一些数据。
例子(Example)
ilike上的密码反面模式
plaxo用了“密码反面模式”,要求用户的google帐户和密码;
何时用(Use When)
1.当你允许用户从其他网站上抓取朋友和联系人数据的时候,不要使用此模式;
2.如果你想让用户了解是如何被欺骗的(被钓鱼),请使用此模式;
3.遏制采用开放的社会化可移植标准,请使用此模式。
解决途径(Solution)
1.访问第三方数据应要求在第三方网站验证,不管网站提示说:网站不会保留用户名和密码;
2.利用诸如Oauth验证层服务,阻止钓鱼式攻击;
3.使用OpenID的,允许用户控制谁可以访问他们的授权数据。
逻辑依据(Rationale)
1.用户应该能访问到他们的数据,并允许从一个网站携带到另一个网站。社会化网站不应该通过 教育用户同意给出他们在任何网站的用户名和密码,来传播这种坏的行为;
2. 尽管这种现象已经变得越来越普遍和容易操作,这种交互行为是一种“反面模式”;
3. 这种进程违反了许多第三方网站的用户服务条款;
4.通过鼓励用户随意地给出他们的用户名和密码,社交网站正在让用户了解自己是如何被欺骗的(被钓鱼);
5.做为选择,社会化网站应应采用开放技术,如OAuth和OpenID的协议,该协议允许在第三方位网站上发生验证;
6. OAuth是“一种开放的协议,以一种简单标准的方式,允许安全地API授权。”换句话说,一个开 放的技术,允许想要一个用户的数据的网站能够以一种安全的方式访问,不要求用户抛出所有 在互联网上他们的登录名字和密码。实际访问发生在第三方的网站,这些数据仍存储在第三方 网站上并在其控制下的。美国在线,雅虎和谷歌都同意支持OAuth,在未来几年,应该没有理 由持续这种反面模式。
译者注:在软件工程中,一个反面模式(anti-pattern或antipattern)指的是在实践中明显出现但又低效或是有待优化的设计模式[1][2],是用来解决问题的带有共同性的不良方法。它们已经经过研究并分类,以防止日后重蹈覆辙,并能在研发尚未投产的系统时辨认出来。
――――――――――――――――-
原文(英文):The_Password_Anti-Pattern
本文链接:http://socialdesign.cn/2009/09/the_password_anti-pattern/
译者:puting