【社会化设计】自我(self)部分――密码反面模式(the Password Anti-pattern)
问题概述(Problem Summary)
用户被要求输入其他网站的登录名和登录密码,以便网站能访问到该用户在其他网站的地址簿 ,联系人列表或者其他一些数据。
例子(Example)
ilike上的密码反面模式
plaxo用了“密码反面模式”,要求用户的google帐户和密码;
何时用(Use When)
1.当你允许用户从其他网站上抓取朋友和联系人数据的时候,不要使用此模式;
2.如果你想让用户了解是如何被欺骗的(被钓鱼),请使用此模式;
3.遏制采用开放的社会化可移植标准,请使用此模式。
解决途径(Solution)
1.访问第三方数据应要求在第三方网站验证,不管网站提示说:网站不会保留用户名和密码;
2.利用诸如Oauth验证层服务,阻止钓鱼式攻击;
3.使用OpenID的,允许用户控制谁可以访问他们的授权数据。
逻辑依据(Rationale)
1.用户应该能访问到他们的数据,并允许从一个网站携带到另一个网站。社会化网站不应该通过 教育用户同意给出他们在任何网站的用户名和密码,来传播这种坏的行为;
2. 尽管这种现象已经变得越来越普遍和容易操作,这种交互行为是一种“反面模式”;
3. 这种进程违反了许多第三方网站的用户服务条款;
4.通过鼓励用户随意地给出他们的用户名和密码,社交网站正在让用户了解自己是如何被欺骗的(被钓鱼);
5.做为选择,社会化网站应应采用开放技术,如OAuth和OpenID的协议,该协议允许在第三方位网站上发生验证;
6. OAuth是“一种开放的协议,以一种简单标准的方式,允许安全地API授权。”换句话说,一个开 放的技术,允许想要一个用户的数据的网站能够以一种安全的方式访问,不要求用户抛出所有 在互联网上他们的登录名字和密码。实际访问发生在第三方的网站,这些数据仍存储在第三方 网站上并在其控制下的。美国在线,雅虎和谷歌都同意支持OAuth,在未来几年,应该没有理 由持续这种反面模式。
译者注:在软件工程中,一个反面模式(anti-pattern或antipattern)指的是在实践中明显出现但又低效或是有待优化的设计模式[1][2],是用来解决问题的带有共同性的不良方法。它们已经经过研究并分类,以防止日后重蹈覆辙,并能在研发尚未投产的系统时辨认出来。
――――――――――――――――-
原文(英文):The_Password_Anti-Pattern
本文链接:http://socialdesign.cn/2009/09/the_password_anti-pattern/
译者:puting
建议继续学习:
- 【社会化设计】自我(self)部分――欢迎区(welcome area) (阅读:12775)
- 网站密码存储方案比较 (阅读:5613)
- 解决linux下安装ssl后,apache重启时需要密码 (阅读:5423)
- 懒人连ssh不输密码若干大法 (阅读:4558)
- 利用QQ游戏破解QQ密码 (阅读:4264)
- SSH无密码登录 (阅读:4343)
- 新浪微博OAuth认证流程分析 (阅读:4138)
- 基于PECL OAuth打造微博应用 (阅读:4173)
- Linux各版本root密码的本地破解方法 (阅读:3901)
- 深入理解OAuth与豆瓣OAuth test (阅读:3959)
扫一扫订阅我的微信号:IT技术博客大学习
- 作者:puting 来源: SocialDesign
- 标签: OAuth 密码 社会化设计
- 发布时间:2010-11-01 20:02:28
- [70] IOS安全–浅谈关于IOS加固的几种方法
- [69] Twitter/微博客的学习摘要
- [64] 如何拿下简短的域名
- [63] Go Reflect 性能
- [63] android 开发入门
- [61] find命令的一点注意事项
- [59] 流程管理与用户研究
- [58] Oracle MTS模式下 进程地址与会话信
- [58] 图书馆的世界纪录
- [58] 读书笔记-壹百度:百度十年千倍的29条法则