Facebooks applikationer og sikkerhed

Wall Street Journal afslørede i oktober at Facebooks applikationer kan overføre og har overført informationer der kan identificere brugere.

Processen er ret enkel – applikationsudviklere får deres applikation loaded i Facebook via en iframe og brugerens Facebook ID medsendes. Et Facebook ID kan f.eks. bruges til at finde brugerens informationer og med mindre brugeren har lagt restriktioner derpå, oplysninger om hvem hans venner er.

Hvis applikationen refererer eksterne elementer direkte, f.eks. bannerannoncer, vil browseren sende applikationens adresse, inklusive Facebook ID, med som reference. Dermed kan annoncebureauet udlede hvilke brugere der har set hvilke annoncer, naturligvis, men også hvad brugerne hedder og som sagt i nogle tilfælde hvem deres venner er.

Værre er det ikke men det er alligevel en situation der nemt kunne være undgået. Applikationsudviklerne kunne sørge for at ikke medsende et ID til eksterne parter eller Facebook kunne sørge for at det ID der medsendes til applikationen ikke kan knyttes til en bestemt bruger. Til sidst kunne man, som artiklen på “Freedom To Tinker” foreslår, håbe at browsere i fremtiden vil give større adgang til at brugerne kan angive hvortil referencer (i dette tilfælde HTTP Referrer) medsendes.

Facebook burde efter min opfattelse for længst have implementeret et proxy system som ovenfor hvorved den konkrete situation kunne være undgået. I stedet har de valgt at gå efter applikationsudviklerne.

Hvis man i øvrigt er i et mere konspirationsteoretisk humør kan Michael Arringtons to artikler på TechCrunch være underholdende: “Fear And Loathing At The Wall Street Journal” og “Wall Street Journal Investigation Into MySpace Was Quietly Killed“, der begge tager udgangspunkt i 1) sikkerhedshullet er ikke noget særligt, 2) sikkerhedshullet eksisterer stort set alle vegne og 3) Wall Street Journals moderselskab ejer Facebook konkurrenten MySpace.

This entry was posted in Security and tagged , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.