Bedenkliches Zugangsrecht: --- Dauerhafter Zugang zu deinen Daten - {Die Anwendung} kann auf deine Daten zugreifen, wenn du die Anwendung nicht verwendest. ---
Die sogenannte “offline_access” Permission, mit der der Nutzer einer Anwendung den dauerhafter Zugang auf seine Daten gewähren konnte, wurde von Sicherheitsexperten seitjeher als eher bedenkliche Rechteabfragen der Facebook API angesehen. Dieses Zugriffsrecht wird ab dem 1. Mai 2012 in – seiner alten Form – Geschichte sein. Stattdessen wird es die Möglichkeit geben einen Authorisierungs-Schlüssels (“access_token”) mit einer Lebenszeit von vollen 60 (!) Tagen zu erhalten.
“Nutzer haben dieses Zugangsrecht nicht verstanden”
Bei einem Facebook Mobile Hack, der vergangene Woche in New York stattfand, gaben Entwickler des kalifornischen Konzerns die schwere Nachvollziehbarkeit der Rechtevergabe als Grund für die Änderung an. Ein Großteil der Nutzer hätte den Nutzen sowie die Konsequenzen schlichtweg nicht verstanden.
(Keine) Verbesserung der Ausgangssituation?
Ob sich die Unklarheit über diese Rechtevergabe mit den Änderungen verbessert ist im Moment jedoch mehr als unklar. Wie bereits erwähnt, kann jede Anwendung den klassischen Access Token durch einen für eine längere Zeit gültigen Token austauschen. Eien gesonderte Genehmigung durch den Nutzer ist nicht mehr nötig. Nach offziellen Angaben soll der neue Token bis zu 60 Tage gültig sein, unsere Selbsttests bestätigen diesen Wert.
Der Austausch findet server-seitig statt, daher hat der Nutzer keinerlei Kontrolle darüber, ob die Anwendung einen “normalen” Session Key besitzt oder ob dieser durch einen “Langzeit”-Token ausgetauscht wird. Unser Test-Token, den wir während der Verfassung dieses Artikels erstellt haben, wäre somit bis 25. März 2012 gültig.
An dieser Stelle sind wir etwas verwundert, dass sich weder die Facebook-kritische Presse noch die üblichen Protagonisten wie Verbraucherschutz-Ministerin Ilse Aigner mit dem Thema auseinandergesetzt haben.
(weiterlesen …)
