التعرف إلى خدمة “أو أوث” OAuth: ماذا يحدث حين نسجّل دخولنا إلى موقع كموقع غوغل أو تويتر أو فايسبوك


إمكانية تسجيل دخولنا إلى موقع آخر بواسطة حسابنا على غوغل أو تويتر أو فايسبوك لا يسهّل علينا حياتنا فحسب، بل هو خطوة أكثر أمنًا من إنشاء حسابٍ جديد أو إدخال كلمة السر الخاصة بحسابنا على غوغل أو تويتر أو فايسبوك على مواقع جهات أخرى.

يكمن دور “أوأوث” في هذه النقطة بالذات. سنطلع معًا على كيفية عمل هذه الخدمة وكيفية حمايتها لكلمات السر الخاصة بنا على مواقع جهات أخرى.

تعرض “تويت جيف” Tweetgif وهو تطبيق من تطبيقات تويتر أمس للاختراق، ما أدى إلى نشر معلومات أكثر من 10 آلاف مستخدم من مستخدمي حسابات تويتر في العلن. ولكن، لم تتعرض أي من بيانات تسجيل مستخدمي تويتر للخطر، وذلك يعود لكون “تويت جيف” يستعين بما يعرف بخدمة “أو أوث”. في حال قمنا في يوم من الأيام بتسجيل دخولنا إلى موقع لجهات أخرى بواسطة حسابنا على غوغل أو فايسبوك أو تويتر من خلال منح الإذن بذلك للموقع أو التطبيق المعني، هذا يعني أننا نستخدم “أو أوث” من دون أن نعلم، وهذه طريقة جيّدة لتوزيع الأذونات على جهات مختلفة.

آلية عمل “أو أوث”

لنفترض أننا نريد استخدام تطبيق كتطبيق “تويت جيف” لنشر ملفات “جي آي إف” GIF المتحركة على حسابنا على تويتر. للتمكن من ذلك، علينا أن نمنح تطبيق “تويت جيف” الإذن بالوصول إلى المعلومات الخاصة بنا وبنشر التغريدات بالنيابة عنّا. في الماضي، كان يتوجب على المستخدم تزويد تطبيق كتطبيق “تويت جيف” باسمه وبكلمة السر الخاصة به على تويتر، من أجل التمكن من تسجيل الدخول واستخدام تلك الخدمات. لذا كان علينا حينها أن نثق بأن تلك التطبيقات ستستخدم بيانات التسجيل الخاصة بنا بشكلٍ سليم، بالإضافة إلى حمايتها من المخترقين، وهذا يتطلب مستوى عالٍ من الثقة. فالأمر أشبه بإعطاء مفاتيح بيوتنا لشخص غريب والوثوق بأنه لن يقوم بصبّ نسخ عنها لكل أصدقائه وسرقة كل مقتنياتنا.

تشكل خدمة “أو أوث” حلاً لهذه المشكلة من خلال منح تلك التطبيقات أذونات بالوصول إلى الأجزاء التي نسمح نحن لها بالوصول إليها. فبدل أن تطلب هذه التطبيقات منّا تزويدها بكلمة السر الخاصة بنا، يحصل ما يلي:

  1. من أجل أن يصبح تطبيقًا من تطبيقات توتير، استحوذ تطبيق “تويت جيف” على مفتاحين مميّزين من خدمة تويتر ألا وهما “مفتاح المستهلك” ومفتاح “سرّ المستهلك”. هذان المفتاح هما المسؤولان عن فتح صلة وصل بين المستهلك (تويت جيف في هذه الحالة) ومقدم الخدمة (توتير في هذه الحالة).
  2. حين نزور تطبيق “تويت جيف” ونطلب منه الوصول إلى حسابنا على تويتر، سيقوم بإعادة توجيهنا إلى توتير. في حال لم نكن قد سجلنا دخولنا إلى تويتر، سيتوجب علينا تسجيله الآن (يجب ألا ننسى أننا نزوّد تويتر باسم المستخدم وكلمة السر الخاصتين بنا إلى تويتر نفسه وليس لتطبيق “تويت جيف”).
  3. سيسألنا تويتر حينها ما إذا كنّا نسمح بوجود ذلك التطبيق وسيطلعنا على الأذونات المعطاة له. قد يكون قادراً على الاطلاع على يومياتنا أو ربما الاطلاع على يومياتنا ونشر المواد بالنيابة عنّا. في بعض الحالات الأخرى، قد يتوجب علينا أن نعطيها إذن بالوصول إلى اسم المستخدم الخاص بنا ورسم وجهنا من أجل استخدامهما على مواقع كموقع “لايف هاكر”، وهذه طريقة أسهل وأكثر أمانًا لكتابة التعليقات من دون الحاجة إلى إنشاء حساب. حين ننقر على كلمة “اسمح”، يتم إنتاج “مفتاح وصول مميز” و”مفتاح وصول سرّي مميز”. يتولى هذين المفتاحين دور كلمات السرّ ولكنها لا تمنح الإذن بالوصول إلى حسابنا إلا لتطبيق “تويت جيف” ولا تسمح له إلا بالقيام بالأمور التي سمحنا له القيام بها.

وبالتالي، نكون قد أعطينا مفتاحًا خاصًا يفتح باب غرفة واحدة فقط عوضًا عن إعطاء مفاتيح تفتح  الباب إلى كل غرف منزلنا. ولكن، من أجل التمكن من استخدام هذا المفتاح، عليها أن تحصل عليه من الحارس الذي يمكنه أن يسترده منها في أي وقت كان.

هل استخدام “أو أوث” آمن إذًا؟

ما الذي يجعل من ذلك خطوة أفضل من إدخال بيانات تسجيلنا على تويتر؟ يمنع ذلك طبعًا التطبيقات من جهات أخرى من القيام بأمور مريبة لا نريدها أن تقوم بها، والأهم أن ذلك يعني أنها وإن تعرضت للاختراق كما حصل مع تطبيق “تويت جيف” يوم أمس، ستبقى كلمة سرّنا الخاصة بتويتر آمنة. لن يمنع ذلك المخترقين من نشر المواد بالنيابة عنّا ومتابعة أشخاص أو القيام بكل ما فوضنا “تويت جيف” القيام به، وفي هذه الحالة كل ما يتوجب علينا فعله هو الدخول إلى صفحة الإعدادت في تويتر وسحب إذن الوصول من ذلك التطبيق. هكذا يصبح مفتاحانا المميزان عديمي الفائدة ويعود حسابنا تحت سيطرتنا من دون الحاجة إلى تغيير كلمة السرّ.

أما الجانب السلبي الكبير لهذا النمط الجديد فيكمن في قيام بعض المواقع، التي تسمح لنا بتسجيل دخولنا بواسطة حسابنا على تويتر أو فايسبوك، بنشر المواد على حسابنا حتى لو لم يكن ذلك ضروريًا. لا تسمح بعض المواقع، كموقع turntable.fm المشغّل للموسيقى، للمستخدمين بإنشاء حساب بل تجبرهم على تسجيل دخولهم عبر فايسبوك أو تويتر. هذا أمر مريح بما أننا غير مضطرين إلى إنشاء حساب جديد، ولكن يحاول هذا الموقع نشر مواد على حسابنا حول ما نقوم به على الموقع هذا. من جهته، لا يطلعنا موقع غوغل فعلاً على الأذونات التي نوزّعها حين نستخدم خدمة “أو أوث”. لتفادي المشاكل، الرجاء قراءة سياسة الخصوصية الخاصة بكل تطبيق نربطه بحساباتنا وفي حال الاستطاعة، علينا التنبه للأذونات المعطاة لكل تطبيق. وفي حال، قيام أي تطبيق بأمر لا نريده، علينا التوقف عن استخدامه بكل بساطة. أو يمكننا أن نتأكد من وجود خيار تعطيل تلك “الميزة” في صفحة إعدادات التطبيق (على موقع turntable.fm مثلاً، يسمح للمستخدمين تعطيل نشر المواد على حسابهم على صفحة إعدادات الموقع بعد تسجيل دخولهم). وعلينا أن نحرص دائمًا على نتفحص التطبيقات المسموح لدينا لكي لا نواجه المشاكل. وإذا لم نستخدم تطبيقًا ما لفترة طويلة، يجدر بنا التخلّص منه كليًا.Bottom of Form

ان كان لديكم اي استفسار او سؤال الرجاء مراسلتنا عبر التعليقات في اسفل الشاشة

للتعليقات

%d مدونون معجبون بهذه: