oauth за и против opensource
Вчера в комментах к недавнему посту Давида Мзареуляна обсудили один неприятный, и, видимо, неустранимый недостаток OAuth:
Если имеется мегапопулярное открытое приложение, и злое приложение начинает использовать тот же секрет/ключ, обманывая доверчивых пользователей, и портя их данные, сервер может либо забанить ключ вообще (нехорошо: страдают юзеры популярного приложения), либо для этого конкретного ключа показывать огромное предупреждение «злое приложение Х испортит ваши данные», но надёжной защиты всё равно нет. Она возможна только в случае веб-приложений, что нам доказано примером hd-dvd aacs.
Вообще, вряд ли эту проблему можно считать недостатком технологии — она призвана решать другую задачу, и неплохо справляется со своим делом. Однако минус есть минус. Впрочем, спам тоже неискореним.
Зато сегодня пришла другая радостная новость: у спецификации OAuth появилась лицензия, и это окончательно гарантирует свободу технологии. Почему радость? Дело в том, что зачастую стандарты создаются сформированными под них структурами, которые сразу учитывают вопросы лицензирования. Однако в случае слабо связанных сообществ, работающих над стандартом (например, OpenID или OAuth), лицензирование — менее запланированный и зачастую более трудоёмкий процесс. Сейчас он завершён, ура : )