Facebook schafft „Offline“ Zugang auf Userdaten ab

Facebook schafft „Offline“ Zugang auf Userdaten ab


Bedenkliches Zugangsrecht: --- Dauerhafter Zugang zu deinen Daten - {Die Anwendung} kann auf deine Daten zugreifen, wenn du die Anwendung nicht verwendest. ---

Die sogenannte „offline_access“ Permission, mit der der Nutzer einer Anwendung den dauerhafter Zugang auf seine Daten gewähren konnte, wurde von Sicherheitsexperten seitjeher als eher bedenkliche Rechteabfragen der Facebook API angesehen. Dieses Zugriffsrecht wird ab dem 1. Mai 2012 in – seiner alten Form – Geschichte sein. Stattdessen wird es die Möglichkeit geben einen Authorisierungs-Schlüssels („access_token“) mit einer Lebenszeit von vollen 60 (!) Tagen zu erhalten.

„Nutzer haben dieses Zugangsrecht nicht verstanden“

Bei einem Facebook Mobile Hack, der vergangene Woche in New York stattfand, gaben Entwickler des kalifornischen Konzerns die schwere Nachvollziehbarkeit der Rechtevergabe als Grund für die Änderung an. Ein Großteil der Nutzer hätte den Nutzen sowie die Konsequenzen schlichtweg nicht verstanden.

(Keine) Verbesserung der Ausgangssituation?

Ob sich die Unklarheit über diese Rechtevergabe mit den Änderungen verbessert ist im Moment jedoch mehr als unklar. Wie bereits erwähnt, kann jede Anwendung den klassischen Access Token durch einen für eine längere Zeit gültigen Token austauschen. Eien gesonderte Genehmigung durch den Nutzer ist nicht mehr nötig. Nach offziellen Angaben soll der neue Token bis zu 60 Tage gültig sein, unsere Selbsttests bestätigen diesen Wert.

Der Austausch findet server-seitig statt, daher hat der Nutzer keinerlei Kontrolle darüber, ob die Anwendung einen „normalen“ Session Key besitzt oder ob dieser durch einen „Langzeit“-Token ausgetauscht wird. Unser Test-Token, den wir während der Verfassung dieses Artikels erstellt haben, wäre somit bis 25. März 2012 gültig.

An dieser Stelle sind wir etwas verwundert, dass sich weder die Facebook-kritische Presse noch die üblichen Protagonisten wie Verbraucherschutz-Ministerin Ilse Aigner mit dem Thema auseinandergesetzt haben.

How-to: Unerwünschte Zugriffe vermeiden

Ob der Nutzer sich ausloggt oder nicht – der Langzeit-Token bleibt volle 60 Tage gültig. Einzige Möglichkeit unerwünschte „offline“ Zugriffe zu vermeiden ist die Entfernung der jeweiligen App. So zumindest der aktuelle Stand. Die Anfrage, ob der Nutzer über die (mögliche) lange Laufzeit in Zukunft informiert wird, konnte nicht beantwortet werden.

Für Entwickler: Token verlängern + Seitenverwaltung ohne „Offline Access“

Um den neuen Langzeit-Token bereits jetzt zu nutzen, muss in den Anwendungseinstellungen (Fortgeschritten) die Option „deprecate offline_access“ aktiviert werden. In der Folge wird die Anfrage „Offline Access“ im Auth. Dialog nicht mehr angezeigt. Alle Anwendungen, für die Option noch nicht manuell aktiviert wurde, können auf die Permission noch bis zum 1. Mai 2012 zugreifen.

Um den Austausch vorzunehmen muss (vom Server Script) lediglich folgende URL aufgerufen werden:

https://graph.facebook.com/oauth/access_token?
client_id=APP_ID&
client_secret=APP_SECRET&
grant_type=fb_exchange_token&
fb_exchange_token=EXISTING_ACCESS_TOKEN

Der aktuelle Access Token („EXISTING_ACCESS_TOKEN“) muss dabei aus einer User/Client Session stammen. D.h. das erneute Austauschen eines server-seitig generierten Tokens ist nicht möglich.

Ein häufiges Einsatzgebiet des „dauerhaften Datenzugangs“ ist die Seitenverwaltung, u.a. zum automatischen Publizieren von Beiträgen auf der Pinnwand einer Seite. Hierzu wird (bzw. wurde) aus der Kombination der Permission „manage_pages“ und „offline_access“ ein dauerhaft gültiger Access Token generiert. Als Ersatz kann nun der über den Graph API Zugriff (https://graph.facebook.com me/accounts) erhaltene Page Access Token mit Hilfe des Langzeit-Access Token erneuert werden.

Der Zugriff auf die Seitenverwaltung kann hierdurch auf 60 Tage verlängert werden. Sofern der Seitenzugriff innerhalb einer externen Anwendung bzw. Website verwendet wird, muss der Seiteneigentümer also mindestens alle 60 Tage seinen Zugriff über einen Facebook-Login sowie Anwendungszugriff erneuern. Eine aus Facebook-Sicht positive Folge dieser Änderung ist, dass beispielsweise die – lückenlose – Nutzung eines Remote-Publishers nun nur noch mit eigenem Facebook-Account möglich ist. Andernsfalls sind die Anwendungen bzw. Nutzer einer entsprechenden Anwendung auf die Aktualisierung durch eine dritte Person abhängig.

Weitere Informationen sowie Ausnahmen findet ihr im Facebook Developer Blog.

Share on FacebookTweet about this on TwitterShare on Google+Pin on PinterestShare on LinkedInBuffer this pageEmail this to someone
Veröffentlichung 25. Januar 2012

+ Es gibt keine Kommentare

Deinen hinzufügen