Daten-Dammbruch by design

Freitag, 7. November 2014

Ich habe eben die neuen Microsoft-Office-Apps für iOS angeschaut. Ganz nett. Aber unabhängig davon, daß ich es nicht ok finde, daß dort bei der Nutzeranmeldung die bei meinem Microsoft-Konto aktivierte 2-factor-authentication schlicht ignoriert wird und man also ohne weitere Code-Eingabe nur mit Nutzername+Paßwort ins Konto kommt (dafür habe ich absolut kein Verständnis), finde ich die an sich lobenswerte Dropbox-Integration zu weitgehend (ja, wirklich).

Wobei es kein alleiniges Problem dieser Apps ist, sondern mich schon lange ganz generell stört: Und zwar kann man nur Zugriff auf die Dropbox komplett freigeben. Sprich: Einmal bei der App autorisiert, kann die App sonstwas mit den Daten machen, beliebig zugreifen. Ich finde diese Art von Freigabe schlicht falsch. Wenn schon pauschaler Zugriff, dann sollte man diesen als Dropbox-Nutzer auf ein Verzeichnis beschränken. Besser noch: Eine App, die auf Daten eines anderen Services zugreifen will, sollte gar nicht direkt zugreifen können. Stattdessen sollte dem Nutzer, wenn er beispielsweise auf eine Datei in Dropbox zugreifen will, eine Dateiauswahl von Dropbox selbst präsentiert werden und dann der zugreifenden App nur ein Handle für den Zugriff auf die jeweils ausgewählte Datei zurückgegeben werden. Die App muß nämlich (jedenfalls in solchen Nutzungskonstellationen) gar nicht wissen, welche Dateien es in der Dropbox gibt. Sie braucht nur Zugriff auf genau die Datei, die der Nutzer ausgewählt hat.

Ähnliches gilt für Zugriff von Apps auf das Fotoalbum (oder Kontakte etc.). Warum muß ich einer App immer gleich den Komplettzugriff geben, damit diese zur Auswahl schön innerhalb der App die Fotos anzeigen kann? Stattdessen sollte sie die Fotoalbum-App aufrufen und selbige dann den Zugriff aus das eine gewählte Foto freigeben. Mehr nicht (es mag Fälle geben, wo tatsächlich voller Zugriff erforderlich sein mag; in den meisten Fällen ist dies aber eben gerade nicht der Fall).

[Noch kritischer scheint mir das bei lauschenden/beobachteten Apps, die angeblich nur auf ein entsprechendes Keyword hin dann Ton/Bild aufnehmen, so wie Apple Siri, Google Now, Microsoft Cortana und Amazon Echo. Hier müßte eigentlich das Lausch-Start-Keyword beim Betriebssystem hinterlegt werden und dieses als vertrauenswürdige Stelle (ja, ich weiß, sagt nichts) solange das Mikro nicht für die App freigeben, solange es nicht das Keyword verstanden hat.]

Denn mit Vollzugriff ist das alles ein Daten-Dammbruch, eine over-authorization, broken by design (daß die Apps gern so viel Datenzugriff haben möchten, kann ich ja verstehen; aber das ist im Zweifel nicht im Interesse des Users und das OS sollte das entsprechend handeln (sollte übrigens IMHO auch für Desktop-OSse so sein)).

Nachtrag:

Unabhängig davon, wie anständig ein OS oder eine zugreifende App solche Dinge regelt, sollte bei der Daten-liefernden App nicht nur all-or-nothing Access-Revocation möglich sein, sondern die Möglichkeit bestehen, individuell pro OAuth-Freigabe nur bestimmte Ausschnitte der Daten überhaupt der anfragenden App freizugeben. Sowas könnte Dropbox hier z.B. ohne Probleme implementieren.



Dieser Text ist mir etwas wert:

Trackbacks


Trackback-URL für diesen Eintrag
    Keine Trackbacks

Kommentare


    Noch keine Kommentare

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
Gravatar, Identica, Favatar, Pavatar, Twitter Autoren-Bilder werden unterstützt.

  Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!