Facebooks applikationer og sikkerhed

Wall Street Journal afslørede i oktober at Facebooks applikationer kan overføre og har overført informationer der kan identificere brugere.

Processen er ret enkel – applikationsudviklere får deres applikation loaded i Facebook via en iframe og brugerens Facebook ID medsendes. Et Facebook ID kan f.eks. bruges til at finde brugerens informationer og med mindre brugeren har lagt restriktioner derpå, oplysninger om hvem hans venner er.

Hvis applikationen refererer eksterne elementer direkte, f.eks. bannerannoncer, vil browseren sende applikationens adresse, inklusive Facebook ID, med som reference. Dermed kan annoncebureauet udlede hvilke brugere der har set hvilke annoncer, naturligvis, men også hvad brugerne hedder og som sagt i nogle tilfælde hvem deres venner er.

Værre er det ikke men det er alligevel en situation der nemt kunne være undgået. Applikationsudviklerne kunne sørge for at ikke medsende et ID til eksterne parter eller Facebook kunne sørge for at det ID der medsendes til applikationen ikke kan knyttes til en bestemt bruger. Til sidst kunne man, som artiklen på “Freedom To Tinker” foreslår, håbe at browsere i fremtiden vil give større adgang til at brugerne kan angive hvortil referencer (i dette tilfælde HTTP Referrer) medsendes.

Facebook burde efter min opfattelse for længst have implementeret et proxy system som ovenfor hvorved den konkrete situation kunne være undgået. I stedet har de valgt at gå efter applikationsudviklerne.

Hvis man i øvrigt er i et mere konspirationsteoretisk humør kan Michael Arringtons to artikler på TechCrunch være underholdende: “Fear And Loathing At The Wall Street Journal” og “Wall Street Journal Investigation Into MySpace Was Quietly Killed“, der begge tager udgangspunkt i 1) sikkerhedshullet er ikke noget særligt, 2) sikkerhedshullet eksisterer stort set alle vegne og 3) Wall Street Journals moderselskab ejer Facebook konkurrenten MySpace.

Dette indlæg blev udgivet i IT sikkerhed og tagget , . Bogmærk permalinket.

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out / Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out / Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out / Skift )

Google+ photo

Du kommenterer med din Google+ konto. Log Out / Skift )

Connecting to %s