Twitterrank en het pasword anti-pattern

Sinds een dag of wat is er een leuk nieuw speeltje: Twitterrank, ontwikkeld op een paar uur tijd door een onafhankelijke ontwikkelaar die iets leuks wou doen met Twitter. Het idee is simpel: meten hoeveel mensen er @replies naar jou sturen en die data aggregeren in een percentiel. Wat de man niet verwacht had, was het gigantische succes dat volgde: nog geen paar uur na release hadden een goede 2,000 twitteraars hun twitterrank via de website opgevraagd.

Het verhaal kent echter een aangebrand kantje. Twitterrank vraagt, net als de meeste andere Twitter apps, immers om je Twitter login en paswoord. Die heeft het nodig om op basis van je persoonlijke data je rank te kunnen berekenen. Enkele mensen begonnen het gerucht te verspreiden dat Twitterrank niet meer was dan een goedkope phising poging om Twitter logingegevens te verzamelen en, erger nog, te misbruiken. Al snel maakte de orginele ontwikkelaar zich bekend via o.a. ZDNet en maakte duidelijk dat hij zeker geen malafide bedoelingen had.

Het verhaal legt één van de achillespezen van het Web opnieuw bloot: De combinatie van menselijke nieuwsgierigheid en impulsiviteit leiden ertoe dat we probleemloos zeer persoonlijke informatie aan gelijk wie willen toevertrouwen. Ook als de beloning die er tegenover staat eerder mager is. Phising, het misleiden van mensen om hun credentials te kunnen stelen, is dan ook een ware plaag.

Erger is dat bonafide ontwikkelaars en de grotere spelers binnen de Web 2.0 ontwikkelingsgolf steeds meer van een gelijkaardig antipatroon gebruik beginnen te maken. In plaats van via protocollen zoals OAuth op elegante en veilige wijze data van elders op te vragen, wordt gratuit gevraagd naar paswoorden en logins. Facebook is hier een typisch voorbeeld: de meeste applicaties vragen toestemming om ‘persoonlijke informatie’ te lezen die ze nodig hebben. Ten eerste weet je niet welke informatie wordt verstuurd. Ten tweede weet je vaak niet wie er achter de applicatie in kwestie zit. Nu betwijfel ik de veiligheid van Facebook niet, maar gebruikers krijgen een slechte gewoonte aangeleerd: dat het oké, makkelijk en, ja, zelfs noodzakelijk is om anderen zomaar toe te laten tot je persoonlijke informatie.

Ook Twitter maakt zich schuldig aan dit anti-patroon: in plaats van in de API een beveiligde communicatiewijze te voorzien, moet je aan applicaties van derde partijen je Twitter paswoord/login geven om van hun diensten gebruik te kunnen maken. Ook ili.st van 10to1heeft je Twitter credentials nodig om te kunnen werken.

Dat we zelf als ontwikkelaar van gebruikers verwachten dat ze zomaar hun credentials in blind vertrouwen zullen afstaan, en dat die laatsten dat ook nog eens massaal doen, staat in schril contrast met het feit dat we er juist op hammeren om nooit of te nimmer je paswoord/username aan gelijk wie af te staan wil je niet het slachtoffer worden van identiteitsroof of erger.

Ikzelf ga alvast proberen om het standpunt van Jeremy Keith te volgen…

3 replies

Commentaar is gesloten