El antipatrón de pedir usuario y contraseña del correo desde otros servicios para buscar contactos

Facebook te pide el correo

Si hay una práctica a erradicar en multitud de "sitios sociales" es la de pedir el usuario y contraseña del correo o de otros servicios para "invitar a tus amigos" o "darte más datos y funcionalidades". Se trata del antipatrón de diseño en programación web más extendido y popular en los últimos tiempos. No es que uno quiera sembrar miedo respecto a Tuenti, Facebook u otras redes solventes - a buen seguro que no van a almacenar contraseñas y darles un uso ilícito - pero sí dejar claro que si como usuarios aceptamos este tipo de mecanismos, estamos cogiendo muchas papeletas para sufrir phishing.

De entrada, las webs que lo implementan tienen buenas razones para hacerlo, si hay algo tedioso es replicar los contactos que uno tiene cada vez que quiere probar un nuevo servicio. Cierto que la gente normal - sólo los bloggers están todo el día registrándose en tonterías - no anda de una red social a otra continuamente, pero como servicio, cuantas menos barreras de entrada establezcas para ser utilizado, mejor. Y no sólo tenemos este caso de uso, empiezan a proliferar los clientes de todo tipo que también solicitan el usuario / contraseña para experiencias del tipo "escribe una vez y refresca el 'status' en una docena de sitios".

La buena noticia es que comenzamos a tener estándares y tecnologías que van a permitir la erradicación de este antipatrón a poco que las diferentes webs no se empecinen en pedirle a los usuarios las llaves de casa. Sucintamente, hay varias alternativas:

  • Los servicios de correo web más importantes ofrecen APIs. Tenemos la de Yahoo, la de Windows Live y la de Google. ¿qué permiten? Acceso a los datos del usuario pero bajo el proceso de identificación del sistema de correo, sin que la web que utilice estas APIs llegue a tener en ningún momento la contraseña.
  • La anterior propuesta significa que la "web cliente" tendría que hacer el mismo trabajo tres veces (o más si contempla otros correos) para una misma funcionalidad. Esa es la razón de ser de los estándares y ahí es donde OAuth tiene sentido. Ya hemos comentado algunas cosas sobre este sistema de identificación abierta que define un mecanismo para que una aplicación web (cliente) pueda acceder a la información de un usuario en otra (proveedor) sin tener que informar a la primera del usuario y contraseña. Al final, los tres sistemas de correo que ofrecen API y que hemos comentado podría perfectamente adoptar OAuth en lugar de sus sistemas propietarios e incompatibles. Quién más está apostando por él es Google que lo utiliza para su Friend Connect.
  • Tenemos la la API social de Google basada en XFN y FOAF, que permite acceder a los contactos de un usuarios que sean públicos en la red y siempre que la información esté expresada en el estándar adecuado.
  • Hay un proyecto interesante, Portable Contacts, cuyo objetivo es la de añadir una capa de abstracción más sobre un conjunto de estándares (vCard, OpenSocial, OAuth) para hacer más fácil la implementación de la funcionalidad "tráete a tus contactos".
  • Por último, está Facebook Connect del que tanto hemos hablado. En este caso la propuesta va más allá de la "portabilidad de datos" (que no lo es) para empezar a hablar de integración con la red social.

En definitiva, nunca ha sido buena idea dar nuestro usuario y contraseña del correo a nadie y el que sigamos viendo implementaciones de este antipatrón cada vez va a tener menos sentido. En absoluto creo que empresas como las arriba mencionadas - Tuenti o Facebook, en la captura pidiéndote usuario y contraseña, también muchas otras - vayan a almacenar nuestras contraseñas de otros servicios, pero perseverar en estos mecanismos ayuda a que los usuarios menos prudentes lo acaben viendo como normal ir dando las llaves de su casa en internet al primero que se lo pida con educación.

Comentarios

Imagen de rvr

Interesante

Es un tema interesante. Lo leí hace unos meses atrás en el wiki de microformats justamente porque me tocó hacer una cosa similar para un cliente (ya se sabe que a veces a la gente le da igual estas cosas si alguien importante, o la competencia, las hace).

Enviado por rvr (no verificado) el 29 Enero, 2009 - 19:46
Imagen de Antonio Ortiz

Muy interesante.... por

Muy interesante.... por cierto, justo hoy acaban de sacar este invento para integrar OpenId y OAuth, habrá que echarle un vistazo.

Enviado por Antonio Ortiz el 30 Enero, 2009 - 00:03
Imagen de Pirmaky

Con eso ya se cuenta

Cuando se entra a internet se sabe que se entra a un mundo inseguro, cualquier cosa que se escriba aunque sea encriptado o bajo clave, puede ser traducido y divulgado. Así que la única precaución válida sería no entrar, pero un aficionado esa posibilidad no la contempla.

Enviado por Pirmaky (no verificado) el 29 Enero, 2009 - 22:09
Imagen de loretahur

Cambio de contraseña

Totalmente de acuerdo que no ayuda a "educar" al usuario de Internet, pero siempre nos quedará poner una contraseña temporal, hacer el rastreo y luego volver a establecer nuestra contraseña habitual en el correo.

Enviado por loretahur (no verificado) el 30 Enero, 2009 - 00:25
Imagen de mr_villa

Sin duda no te falta razón,

Sin duda no te falta razón, pero esto creo que sigue teniendo los días contados. Creo que, en este año 2009, el supuesto año de la "Web ID" va a dejar de ser necesario este mecanismo para recopilar de nuevo a todos tus contactos.

Si con herramientas como Facebook Connect ya los traes todos contigo, ¿ porque no vas a implementarlo ? Desde mi punto de vista esta supuesta "federación" podría terminar con este mecanismo...

Enhorabuena y gracias por el blog !

Enviado por mr_villa (no verificado) el 30 Enero, 2009 - 01:20
Imagen de N3RI

Otra opción

También está la opción "más manual" del windows live messenger de "exportar" la lista de contactos. Nunca entendí por qué me piden mi mail y mi password, si podrían pedirme simplemente que exporte/importe el archivo con la lista de contactos; es lo más lógico y fácil a mi parecer.

Además, uno puede (aunque no debería) confiar en los grandes como facebook o twitter, pero por ejemplo, a cada rato están saliendo páginas que agregan características a twitter, que te dicen quién te deja de seguir, tu historial, muestra un gatito, o lo que sea... y esos terceros también te piden la contraseña y quién los conoce?!?! De hecho, hace poco hubo una de esas páginas relacionadas con twitter que se sospechó que era FAKE, SCAM o como quieran llamarla.

PD: deberían modificar para que este formulario no te pida el "http://" en el campo "Página principal". Estamos en el siglo XXI, no debiera ni siquiera pedir el "www."

Enviado por N3RI (no verificado) el 30 Enero, 2009 - 03:27
Imagen de Cajonevera

Se me ocurre...

Relacionando varios opciones y siempre con la palabra open como bandera al hablar de servicios sociales, se me ocurre, porque no crear la opción en el openID, de asociar opencontacts, y que simplemente demos a este tipo redes facebook, linkedin, etc nuestra URL OpenID with my Opencontacts. Qué opináis?

Enviado por Cajonevera (no verificado) el 30 Enero, 2009 - 14:08
Imagen de salsa malaga

quien no te admite

Lo que comenta Pablo Herreros y yo creía estar ya olvidado, ha vuelto a ponerse de moda. En esta semana lo he recibido de dos amigos.

:-(

Un saludo. Antonio

Enviado por salsa malaga (no verificado) el 30 Enero, 2009 - 17:06
Imagen de Legado

Hablamos como si fuera obligatorio

Desde hace algún tiempo ejerzo de dinamizador 2.0 para algunas empresas. Mantendo perfiles, contacto, busco posibilidades de negocio con otras empresas, ayudo a la propagación de noticias, busco herramientas apropiadas para cada empresa y todo dentro del marco 2.0.

Para la mayoría de las redes sociales, tanto las personales, como las específicas o las profesionales, esta opción de "dar tu email y contraseña" es total y absolutamente voluntaria, no estás obligado a hacerlo, por lo que no veo realmente ningún problema, todo lo contrario, como responsable de establecer contactos y mantener los que tengo, es una opción realmente interesante.

Esto no es como cuando vamos a Walt Disney o a Warner Park que te obligan a abrir la mochila para ver qué tienes de forma obligatoria... que por cierto dudo mucho que una persona no autorizada por la ley pueda "ver que tienes dentro de la mochila", el caso es que tenemos la opción de no dar absolutamente ningún dato que no queramos.

Enviado por Legado (no verificado) el 1 Febrero, 2009 - 16:20
Imagen de Un navegante

claro que no es obligatorio

Hola Legado, evidentemente no es obligatorio. Solo faltaría que para darte de alta en Facebook te exigiesen tu tarjeta de crédito y el PIN que usas. Sin embargo es una mala costumbre que hace que la gente no valore la contraseña de su correo electrónico. ¿Acaso le darías la llave de la puerta de tu casa a la primera tienda donde entrases a comprar? Eso sin contar con las aplicaciones maliciosas que puedan surgir y que se aprovechen de este mal hábito.

Enviado por Un navegante (no verificado) el 3 Febrero, 2009 - 14:08

Opciones de visualización de comentarios

Seleccione la forma que prefiera para mostrar los comentarios y haga clic en «Guardar las opciones» para activar los cambios.

Enviar un comentario nuevo

El contenido de este campo se mantiene como privado y no se muestra públicamente.
If you have a Gravatar account, used to display your avatar.
  • Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Saltos automáticos de líneas y de párrafos.

Más información sobre opciones de formato

Productos destacados

Suscripción

Introduce tu dirección de correo:

Ofrecido por FeedBurner

Feed rss Lectores con feedburner

Créditos

Blogs que hospedo