Добавляя себе новое приложение в Facebook или регистрируясь с его помощью на сайте, приложения получают доступ к вашей информации. Сейчас разработчикам доступно около 60 различных разрешений (permissions), с помощью которых они могут получать доступ к вашей информации, создавать и управлять ей.
К одной информации (публичной) приложение имеет доступ, а к другой, которая необходима для работы, приложение может попросить у вас различные разрешения.
Как обезопасить себя — читайте подкатом.
Подробный список разрешений доступен в документации Facebook (на английском).
Permissions условно можно разделить на те, которые:
С другой стороны permissions разделены на доступ к информации пользователя и на информацию друзей пользователя.
Вы можете контролировать уровень доступа к вашей информации как внутри Facebook, так и за его пределами. Чтобы обезопасить себя, следуйте рекомендациям, описанным ниже.
Ваше имя, фотография профиля, пол, сообщества и имя пользователя открыты для всех. Доступ к остальной информации вы можете настроить в “Настройках конфиденциальности”, через меню “Аккаунт” в Facebook. В разделе “Приложения и веб-сайты” первым стоит обратить внимание на блок “Информация, доступная через Ваших друзей”. Здесь можно задать, какая информация доступна для приложений и веб-сайтов в случае, если Ваши друзья их используют.
Со страницы “Настройки конфиденциальности” можно перейти в редактирование приложений. Тут можно или удалить приложение совсем, тогда оно больше не сможет работать с вашими данными пока вы не зайдете в приложение заново и не разрешите нужные permissions. Удалите нежелательные приложения или приложения, распространяющие спам. Для остальных можно пройтись по настройкам, нажав “Изменить настройки”.
Для выбранного приложения доступна информация:
После того как вы настроили какую информацию вы оставляете публичной и что будет доступно приложениям через ваших друзей, а также проверили настройки добавленных приложений, посмотрите на возможные permissions, которые могут запросить приложения.
Отдельные permissions могут объединяться под одним значком, и выводиться списком в описании. Сравните первые три значка слева.
Если приложение запрашивает у вас email, то вы можете выбрать: отдать ваш или прокси адрес email. В последнем вам присвается произвольный адрес, письма с которого перенаправляются вам. После разрыва связи приложение не сможет дальше присылать их, так как сам ящик оно не знает. Довольно часто разработчики проверяют какой тип email вы оставили, и блокируют доступ пока вы не отдадите свой настоящий адрес.
Для управления мероприятиями есть 2 permission:
Разрешение “Оставлять публикации на моей стене” позволяет создавать заметки, постить статусы и ссылки, оставлять комментарии и лайкать, загружать фото. Если вы дали приложению это разрешение, то оно может делать это в любое время, в независимости от вашего присутствия в сети и использования приложения.
В случаях, когда приложение хочет получать доступ к информации в любое время, оно запрашивает permission offline_access — “Получать доступ к моим данным в любое время”. Для доступа к информации приложение использует access_token — уникальный ключ пользователя. Но он действует около часа и постоянно обновляется, поэтому если вы разрешили офлайн доступ — приложение получит “вечный” access_token.
Приложение может управлять страницами в которых пользователь является администратором. Для этого оно запрашивает manage_pages permission — “Управлять моими страницами”.
Напоследок, несколько рекомендаций разработчикам приложений:
К одной информации (публичной) приложение имеет доступ, а к другой, которая необходима для работы, приложение может попросить у вас различные разрешения.
Как обезопасить себя — читайте подкатом.
Подробный список разрешений доступен в документации Facebook (на английском).
Permissions условно можно разделить на те, которые:
- Позволяют получить данные (“read-only”): персональная и контактная информация, списки друзей, групп, интересов и прочего.
- Управляют данными (создают, изменяют, удаляют): публикация статусов, заметок, фотографий, ответы на запрос мероприятия, сообщения и посещения мест.
С другой стороны permissions разделены на доступ к информации пользователя и на информацию друзей пользователя.
Вы можете контролировать уровень доступа к вашей информации как внутри Facebook, так и за его пределами. Чтобы обезопасить себя, следуйте рекомендациям, описанным ниже.
Управление конфиденциальностью
Ваше имя, фотография профиля, пол, сообщества и имя пользователя открыты для всех. Доступ к остальной информации вы можете настроить в “Настройках конфиденциальности”, через меню “Аккаунт” в Facebook. В разделе “Приложения и веб-сайты” первым стоит обратить внимание на блок “Информация, доступная через Ваших друзей”. Здесь можно задать, какая информация доступна для приложений и веб-сайтов в случае, если Ваши друзья их используют.
Контроль приложений и веб сайтов
Со страницы “Настройки конфиденциальности” можно перейти в редактирование приложений. Тут можно или удалить приложение совсем, тогда оно больше не сможет работать с вашими данными пока вы не зайдете в приложение заново и не разрешите нужные permissions. Удалите нежелательные приложения или приложения, распространяющие спам. Для остальных можно пройтись по настройкам, нажав “Изменить настройки”.
Для выбранного приложения доступна информация:
- Последний вход: Дата использования приложения последний раз.
- Информация, к которой предоставлен доступ: Показывает список прав доступа, обязательных для приложения, а также список дополнительных прав доступа, которые Вы назначили приложению. Вы можете удалить любые дополнительные права доступа, нажав «Удалить».
- Последний доступ к данным: Показывает, когда приложение получило доступ к определенной информации от Вашего имени. При нажатии на ссылку «Просмотреть подробности» Вы увидите к какой именно информации получило доступ приложение.
Permissions
После того как вы настроили какую информацию вы оставляете публичной и что будет доступно приложениям через ваших друзей, а также проверили настройки добавленных приложений, посмотрите на возможные permissions, которые могут запросить приложения.
Отдельные permissions могут объединяться под одним значком, и выводиться списком в описании. Сравните первые три значка слева.
Если приложение запрашивает у вас email, то вы можете выбрать: отдать ваш или прокси адрес email. В последнем вам присвается произвольный адрес, письма с которого перенаправляются вам. После разрыва связи приложение не сможет дальше присылать их, так как сам ящик оно не знает. Довольно часто разработчики проверяют какой тип email вы оставили, и блокируют доступ пока вы не отдадите свой настоящий адрес.
Для управления мероприятиями есть 2 permission:
- create_event — позволяет создавать и изменять мероприятия, приглашать друзей
- rsvp_event — RSVP мероприятия — позволяет выбрать, пойдете ли вы (подпись на приглашении, призывающая получателя дать ответ об участии в мероприятии (Répondez s’il vous plaît — франц.))
Разрешение “Оставлять публикации на моей стене” позволяет создавать заметки, постить статусы и ссылки, оставлять комментарии и лайкать, загружать фото. Если вы дали приложению это разрешение, то оно может делать это в любое время, в независимости от вашего присутствия в сети и использования приложения.
В случаях, когда приложение хочет получать доступ к информации в любое время, оно запрашивает permission offline_access — “Получать доступ к моим данным в любое время”. Для доступа к информации приложение использует access_token — уникальный ключ пользователя. Но он действует около часа и постоянно обновляется, поэтому если вы разрешили офлайн доступ — приложение получит “вечный” access_token.
Приложение может управлять страницами в которых пользователь является администратором. Для этого оно запрашивает manage_pages permission — “Управлять моими страницами”.
Разработчикам
Напоследок, несколько рекомендаций разработчикам приложений:
- Запрашивайте как можно меньше разрешений для начала работы с приложением. В идеале landing page должен открываться не зависимо от того, разрешил ли я доступ приложению. На этой странице можно рассказать почему я должен разрешить доступ и дать возможность сделать это осознанно. Конверсия отказов будет ниже.
- Если пользователь разрешил доступ — не показывайте landing page. Проводите авторизацию сразу на стороне сервера, без многократных перезагрузок окна iframe приложения, и давайте пользователю возможность сразу приступить к работе.
- Не совершайте действий, если вы явно не получили от пользователя их одобрения. Виральность за счет спама снижает лояльность к приложению. Вместо автоматичестих публикаций и приглашений давайте аналогичные возможности через Dialogs.
- Следуйте положению о правах и правилах разработчиков Facebook.
