¿Para qué necesitas mi clave de Twitter?

Última actualización el 2009-01-07 3 min de lectura

Hace tiempo que quería escribir sobre este problema pero al leer esta nota hoy en Manzana Mecánica, me decidí.

Es cierto que una explicación sociológica (o etológica) del comportamiento de los usuarios es muy interesante, pero hay otros aspectos técnicos e incluso éticos que hecho de menos en casi todos los análisis de estos casos.

Primero, este es un problema grave, porque estamos entrenando a los usuarios a que está bien que entreguen sus emails, claves, y listas de contactos en cualquier sitio. Esto es aprovecharse del comportamiento de manada, tal comolo aclara muy bien Mig.

Segundo, porque es inaceptable que Twitter, habiéndose dado cuenta hace tiempo del problema, aún no lo haya solucionado, y lo que es peor, ellos mismos diseñaron la solución de este problema, y ¡la tienen durmiendo desde hace más de un año!

La disponibilidad de APIs es una de las características de muchos de los servicios de la Web 2.0 (como Twitter, o Facebook), y son los que les dan el dinamismo que las caracteriza (aparte de los beneficios de promoción viral, al crear un ecosistema de servicios relacionados).

Hay muchos servicios que usan estas APIs.

Un ejemplo local, el servicio Bittr, que permite enviar actualizaciones a Twitter usando mensajes de texto (SMS o MMS), necesita que le entregues tus datos de login en Twitter. En este caso los desarrolladores, juran y rejuran que las claves están seguras (encriptadas y todo eso), y les creo, pero igual me gustaría saber como lo implementan, porque es un problema bastante complicado, pero muchachos, tomen nota, y repítanlo como mantra: nunca hay que pedirle a un usuario su clave acceso a un sitio (o servicio) de terceros.

Cada vez estamos viendo sitios que implementan esta mala práctica, y por lo tanto, siempre habrán historias de terror asociadas.

Porque este es un grave problema, conocido hace tiempo, es una mala práctica, o como algunos proponen, un antipatrón de diseño: The Password AntiPattern.

La propuesta es la siguiente:

aunque te cueste un jugoso contrato, debes negarte a implementar cualquier tipo de interfaz que involucre preguntare al usuario su clave de acceso a un sitio (o servicio) de terceros.

La extensión de este problema es cuando se le solicita al usuario que además entregue su lista de contactos.

Me van a decir, “todo bien Eduardo, entendemos tu preocupación, pero igual necesitamos acceder a los datos del usuario”.

La verdad es que la gente de Twitter se dió cuenta de este problema, y empezó a trabajar en una solución, y la encontraron, en conjunto con un montón de gente inteligente de Google, y otros servicios, y hace un año resolvieron este problema, se llama OAuth, pero por alguna misteriosa razón, aún no lo implementan en Twitter, y recién van a empezar a probarlo en beta en los próximos meses!

Este ya no es un problema técnico, porque ya es posible extender este tipo de servicios sin tener que pedirle jamás al usuario su información personal de login a servicios de terceros.

Yo no sé por qué Twitter no implementa OAuth, siendo que este proyecto nació de su propia preocupación por resolver el problema.

Me quedo con una reflexión que leí por ahí, “en esta nueva realidad de la web social, más que preguntarse de qué manera puedo estirar (o abusar de) esta herramienta o servicio, lo correcto es preguntarse en que medida lo que voy a hacer tiene un efecto positivo en mi mundo.”

twitter seguridad
Autor

Ingeniero, autor, emprendedor y apasionado programador. Mantengo este blog desde 2005.

comments powered by Disqus
Siguiente
Anterior

Relacionado

¿Te gustó?

Puedes apoyar mi trabajo en Patreon:

Become a Patron!

O puedes apoyarme con un café.