popvote

popvote 點解仲要死撐?

popvote 果個公民提名特首網站,用Telegram做認證引發保安問題,雖然有唔少好似我呢啲半桶水IT人表明有疑慮,更有好多真係有認證嘅保安專家,表示個app唔安全,呼籲 popvote 改設計,同埋公眾唔好玩呢個game,但係 popvote 好似無意思棄用 Telegram,咁死撐落去,我相信好多人喺今年特首選舉,唔會敢用 popvote 個app或網站作出任何政治表態。

popvote 對Telegram有錯誤理解

popvote 唔想用 SMS 做認證,但又想有 SMS 認證嘅效果,呢點我可以理解。正因呢個問題,坊間至會有Open ID、OAuth呢啲技術同理念。就算依家炒粉度同 popvote 有得揮嘅 HSBC Payme ,有部分人成功登記,都係因為用 Facebook 做 OAuth ,然後skip咗email verification,部分人因此可以開始用 Payme 。

任何OAuth技術,都係會有三層架構,一個係用家本身,一個係果個受保護資源,例如入 popvote 投票,一個係負責認證果個機構。負責認證第三方,完成核實用家身份,俾咗個 access token 個 protected resource 後,用家同負責認證第三方嘅通訊應該係完結,甚至個token本身,都盡量越短命越好,費時有第三者中間偷咗個access token胡作非為。Google ID、Facebook ID呢啲本身因業務緣故,本身想攞嚟做 single login,所以無論 Google 定 facebook,佢地嘅server設計,都有充分考慮以上問題,做到兩個嘢:

  1. 完成認證即自動terminate the login session,並issue the token
  2. 唔會俾個protected resource嘅主機,保留任何涉及身份認證嘅資料

而Telegram雖然好有多嘢想做,但Telegram個login無設計呢個功能,至少 popvote 應用telegram果陣,連自動terminate login session都做唔到,你叫公眾信你安全,你班友無嘢嘛。

好想知邊個茂利建議用Telegram,我只能講一句,建議用Telegram真係鬼味濃郁。都係果句,我維持原判,我唔會參與 popvote 個網上投票,叫佢地返去早抖。

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *