web-dev-qa-db-ja.com

Facebookの友達検索機能のようなユーザーのサードパーティのユーザー名/パスワードを要求する

序文

Facebookやその他のサイトには、サードパーティのWebサイトの資格情報をユーザーに要求する機能があります(下の画像を参照)。おそらく、facebookは資格情報を使用してユーザーとしてログインし、電子メールの連絡先を収集してfacebookのユーザーデータベースと照合します。

ご質問

ユーザーの1人に代わってログインするには、サードパーティのWebサイトからそのような許可が必要であることを誰もが知っていますか?または、許可は必要ありませんか?

ペットシッターにアパートの鍵を渡すのに似ていると思います。ペットシッターがあなたのアパートに入らないようにする唯一の方法は、所有していないアパートのドアを誰も解錠できないと複合施設のTOSが明示的に述べている場合のみです。しかし、それらのTOSはペットシッターに適用されますか?それとも、複合施設とのサービス契約を締結する賃貸人にのみ適用されますか?

enter image description here

1
Walter Stabosz

この方法で資格情報を中継することは、純粋に信頼の問題です。 「Facebookはパスワードを保存しません」というテキストに注意してください。 -ユーザーはそのためにWordを使用する必要があります。サーバーに送信されるものはすべて簡単に保存できるためです。ただし、このステートメント自体はユーザーへの明示的な約束であるため、TOSと見なすことができます。

認証が中継されるサービスのTOSにより、認証が許可されているかどうかがわかります。ほとんどの(無料の)サービスには、ユーザーに代わって認証する第三者に対する制限はなく、特別な許可も必要ありません。通常、アカウント情報をどうするかはユーザー次第です。一部のサービス(Googleなど)では、2要素認証やアプリケーション固有のパスワードなどの機能を使用して、これらの決定をより詳細に制御できます。

0
dartonw