Zur Zeit geht wieder ein Dienst durch die Webgeekszene, bei dem ich nur mit dem Kopf schütteln kann. Socialthing! ist ein Lifestream-Dienst ähnlich Friendfeed (und dutzende andere). Man kann also seine fragmentierte Onlinepersönlichkeit hier zusammenführen.
Der Twist: Im Gegensatz zu Friendfeed das ausschließlich auf APIs und RSS-Feeds setzt, muss man bei Socialthing! seine Logindaten der aggregierten Dienste eingeben.
!
Hallo? Noch ganz knusper?
Ich finde die Unart, mit Passwörter abzufragen ziemlich, na, bedenklich. Es ist erstaunlich, dass dieser Vorgang mittlerweile als "üblich" angesehen wird.
Zum Glück wurde mit diesen Passwörtern, die man an dritte Webdienste weitergibt wenigstens noch nie Missbrauch getrieben. Oh, Moment. Da war doch eben erst am Wochenende etwas:
Your Email Password: A True Horror Story About Why We Need Authentication Standards - ReadWriteWeb
Dustin Brooks is a reader of Atwood's excellent blog Coding Horror and sent Atwood the story of his sleuthing around the app, called G-Archiver.
"It didn't really have the functionality I was looking for," Brooks wrote, "but being a programmer myself I used Reflector to take a peek at the source code. What I came across was quite shocking. John Terry, the apparent creator, hard coded his username and password to his gmail account in source code. All right, not the smartest thing in the world to do, but then I noticed that every time a user adds their account to the program to back up their data, it sends and email with their username and password to his personal email box! Having just entered my own information I became concerned.
"I opened up a browser and logged in to gmail using his account information. It still worked.
"Upon getting to the inbox I was greeted with 1,777 emails with account information for everyone who had ever used the software and right at the top was mine. I decided to go ahead and blast every email to the deleted folder and then empty it. I may have accidentally changed the password and security question to something I don't remember as well, whoops, my bad. I also contacted google to erase this account as I didn't see a way to delete it myself."
Die Ironie, dass der Launch von Socialthing und diese Horrorgeschichte quasi fast zusammenfielen, ist auch einem Kommentator auf TC, das die obige Story auch vorher behandelt hatte, nicht entgangen:
I love that this story comes immediately after this:
“These users should have known better than to type their email credentials into a third party service, so sympathy levels are at a minimum.”
I’ll just hop on over to SocialThing! now and enter my credentials (I wouldn’t anyway, but it was just funny).
Besonders bei GMail, an dem ja noch der ganze Rest an Google-Webdiensten hängt, sollte man besonders vorsichtig sein.
Das dürfte auch einer der Hauptgründe gewesen sein, warum Google als erste eine Oauth-ähnliche API veröffentlicht haben.
Dienste, die umfassenden Zugriff auf meine Accounts auf anderen Seiten benötigen, werde ich auch erst nutzen oder ausprobieren, wenn Oauth oder etwas Vergleichbares die Verzahnung zwischen den Seiten auf ein vernünftige Basis stellen. Alles andere ist einfach nur leichtsinnig.
Denn weder vertraue ich jedem dahergelaufenen Webdienst mit pastellfarbenen abgerundeten Ecken, noch will ich den anscheinend sich mittlerweile einbürgernden leichtfertigen Umgang mit Zugangsdaten unterstützen.