GoogleやFacebookのシングルサインオンなどのOAuth2サービスの使用はプライバシーの問題ですか？

OAuth2は、エンドユーザー、つまりGoogleまたはFacebookアカウントなどを使用してサードパーティのサービスで認証を行う人にとって、本質的にセキュリティリスクではありません。

OAuth2はscopes で機能します。これは、サードパーティサービスがアクセスすることになるデータの性質と量を定義します。

あなたはおそらくこの種の画面に慣れているでしょう（ source ）：

適切に設計されたOAuth2実装は、サードパーティサービスに開示されるさまざまな情報を明確に表現します。

ただし、これは実際にはOAuth2プロバイダーの適切なスコープ定義に依存しています。標準スコープはないため、プロバイダーごとに異なります このscopes-by-providerリストに示されているように 。

したがって、「外部リスク」はOAuth2プロバイダーの選択にあります。完全に安全ではない方法でOAuth2を実装し、OAuth2仕様に「準拠」することは可能です。すべての情報に対して単一のスコープでサービスを実行した場合はどうなりますか？同意ページのそのような範囲の私の説明が誤解を招く場合はどうなりますか？

より一般的には、OAuth2仕様に対する批判として、実装者が自分で補うための重要な要素を除外し、あらゆる種類の問題を引き起こすことがよくあります。 ウィキペディアのページで簡単に説明します （うさぎの穴に行って、読んでください）。

ただし、これによってOAuth2自体が本質的に安全になるわけではありません。

現在のケンブリッジアナリチカスキャンダルへの対応：Facebookは、彼らに対抗できるすべての理由から、評判の良いOAuth2実装を実行し、このイベントの何年も前からこのサービスを提供してきました。ケンブリッジアナリチカの大失敗で情報を引き渡した人々は、釣りに終わった心理プロファイリングアプリ（notphishing）このすべての情報。しかし Facebookは少なくともデータ使用ポリシーを実施する際に「慎重に」取り組んでいるようです （自分の考えを作り直してください）。

編集：@ Ianは、Cambridge Analyticaのアプリユーザーは、友達のデータがプルされることに明示的な同意を与えたFacebookの範囲の説明が簡単ではなかったのではないかと思います。

最後の質問については、OAuth2プロバイダーは、サードパーティサービスがスコープ情報にアクセスするタイミングと頻度を知ることができます。サードパーティのサービスで何をしているか、さらに言えば、サービスがあなたの情報で何をしているかを知ることはできません。それは（正しく）彼らの手の外にあります。

• OAuth2の背景： https://oauth.net/2/