让我们明确一点:虽然Facebook最近因其新的隐私政策和Open Graph概念(允许他们与其他网站合作,这些网站也可以获得Facebook的一些用户数据)而受到了很多批评,但Facebook并没有明确地对你保密。但一些安全专业人士和用户不断抨击该网站,因为他们认为该网站对你的数据流向以及该网站的安全程度的解释不够清晰。
乔伊·泰森是维护该网站的社交媒体安全专家社会黑客他说,在Facebook体验的雷达下,存在着重要的数据安全和隐私问题。这是Facebook没有直接告诉用户的。
我们不希望你改变隐私设置
自从网站成立以来,Facebook的隐私政策在过去几年里发生了巨大的变化——参见电子自由基金会的Facebook隐私政策的时间表.在Facebook成立之初,隐私是由用户严格控制的。今天,配置文件的某些部分是用户无法私有的。其他部分可以设置为私有,但不需要进行大量的工作。最近,在Facebook上更改隐私设置被一些安全专家称为“录像机编程的今天版本”。
泰森说:“Facebook已经表明,他们一直在推动用户更多、更公开地分享。”“虽然他们为用户提供了控制,但他们似乎希望人们能够公开分享。”Tyson指出,不要认为Facebook不提供隐私,这一点很重要。Facebook希望会员使用该网站,即使是以私人方式。但这并不是他们的偏好。因此,如果你使用了许多隐私控制,你会被问到是否真的想这么做。
公开你的信息会让你成为Facebook诈骗的目标。读5 .避免Facebook和Twitter诈骗和要避免更多的脸书、推特诈骗)
“他们在网站上描述某件事的一些解释可能会非常令人困惑。(举个例子,登录你的Facebook账户然后去在这里,调整您的隐私设置)就好像他们不想站出来说:“这就是你的数据将要发生的事情,”因为他们不想吓唬人。他们希望将控制权提供给重视隐私并希望限制访问的人。但与此同时,如果他们向用户推送这些信息,提醒他们所有这些不同的隐私设置,人们就不太可能分享信息,这不是Facebook想要的。”
Facebook负责公共政策的副总裁埃利奥特·施拉格回答了《纽约时报》读者的问题本周关于新的控制,甚至承认社交网络可以做得更好。
施拉格对读者说:“很明显,尽管我们做出了努力,但在传达我们正在做出的改变方面,我们做得还不够好。”“更糟糕的是,我们努力让用户更好地控制他们分享什么以及如何分享,这对我们4亿多用户中的一些人来说似乎太困惑了。这是不可接受的,也是不可持续的。但这当然是可以解决的。你指出了我们需要解决的问题。”
至于公司对人们真正需要多少隐私的立场,Facebook创始人兼首席执行官马克·扎克伯格为Facebook的隐私变化辩护一月份的Crunchie奖他说:“人们不仅可以分享更多不同的信息,而且可以更开放地与更多的人分享。这种社会规范是随着时间的推移而演变的。”
我们几乎无法控制应用程序的安全性
Tyson说,Facebook在跟踪网站自身的漏洞和保护用户方面做得很好。问题在于它们的应用程序编程接口(api)和第三方对数据的访问。
“当你使用一个与Facebook交互的应用程序时,你就会相信这个应用程序及其安全级别,”Tyson指出。“这是很多人不理解或意识不到的;他们对自己使用的非Facebook应用的信任程度。因此,如果应用程序存在漏洞,它就可以被利用来代表你与Facebook对话。”
重点是:应用程序在访问数据方面可以做的任何事情;Ie:发布链接,分享故事或图片,攻击者有同样的能力,如果他们攻击该应用程序。
漏洞有多普遍?泰森去年9月进行了一些研究,汇编了他所谓的“一个月的Facebook漏洞”。他发现Facebook十大应用中有六个在那段时间遭到了入侵。最近,他做了类似的研究,发现前十名中有一半仍然处于劣势。
泰森说:“这些数字表明,这是一个尚未得到利用的严重问题。”“但现在我们看到Facebook在网络上传播得越来越多,我认为攻击者真的会注意到这一点。我们开始看到越来越多的人利用社交网络传播恶意软件。”
但是专注于网站安全的Facebook的Simon Axten最近联系了CSO,澄清了应用程序的安全性。
“开发者,无论大小,都必须遵守我们的平台政策指南,这要求应用程序提供可靠的体验,”他在电子邮件中说。“我们定期执行这些指导方针,并禁用我们发现违反规定的应用程序。”
Axten还指出,用户有多种选择来控制他们与应用程序共享的信息。包括:
-如果你担心某个应用程序或它可能访问的数据,不要授权它。
-应用程序受应用程序隐私设置的约束。也就是说,你可以设置你朋友的应用程序可以访问和不能访问的内容(设置)在这里)
-你可以像在Facebook上屏蔽个人一样屏蔽应用程序。
但问题不仅仅是应用。根据泰森公司的说法,作为其新的即时个性化模式的一部分,Facebook现在正在与其他网站合作,因此这对其他网站的安全也有影响。本周早些时候,一名安全研究人员发现了一个利用跨站点脚本(Cross Site Scripting)向Yelp注入恶意代码的漏洞,Yelp是这个试点项目的合作网站之一。这一漏洞在被修复之前就被发现了,它将允许恶意网站立即获取Facebook用户的姓名、电子邮件和与Facebook上的“每个人”共享的数据,而用户不需要采取任何行动。
Facebook的Axten说CSOonline通过电子邮件:
“我们新的即时个性化功能是与三个合作伙伴(微软、潘多拉和Yelp)合作的一个有限的试点项目,我们仔细选择了这些合作伙伴,以优化合作文档、发现音乐和寻找本地企业的特定体验。”
“每个合作伙伴都是经过预选、审查的,并受到Facebook合同的约束;就像我们在其他环境中合作的其他合作伙伴一样,我们提供独特和创新的体验。需要强调的是,这是一个试点项目,人们会得到明确的通知,很容易就有机会在合作网站和Facebook上选择退出。”
我们知道你访问了哪些网站
关于Facebook将与其他各方分享哪些信息,已经有不少人大肆宣扬,尤其是在推出即时个性化概念之后。但泰森表示,许多用户并不考虑Facebook本身收集了关于你的哪些信息。作为新程序的一部分,Facebook使用了社交插件,用户现在可以看到其他朋友在网络上其他网站上“赞”了什么或评论了什么。Facebook自己将其社交插件描述为“可以插入任何网站,为人们提供个性化和社交体验的简单工具。”
“在某些方面,这种行为与追踪广告网络使用的cookie没有什么不同,”泰森指出。“但主要的区别是,Facebook现在从你的个人资料中获得了个人身份信息。他们知道你不只是一个在cookie上标上代码的匿名用户。他们有很多关于你的信息,你的兴趣,具体的数据。”
他们应该拥有它吗?Tyson说,虽然这个概念肯定支持Facebook努力使网络体验尽可能个性化,并在其中包含一些有益的功能,但他怀疑许多用户没有意识到Facebook对他们的信息和他们在Facebook之外的活动的规模。
你的信息被存储在Facebook之外的地方
正如CSO所指出的退出Facebook的10个安全理由在《Farmville》、《Mafia Wars》或其他数千款应用的授权下载中,第三方应用开发商可以访问你的个人资料。
正如Axten在给CSO的邮件中指出的那样,Facebook要求开发者在下载前告诉用户他们将访问哪些信息。
“应用程序必须得到用户的明确授权,才能访问任何非普遍可用或设置为‘Everyone’的信息。我们新的权限模型,我们可用两周前在f8开发者大会,并将强制要求所有开发人员从6月1日开始,要求应用程序指定的具体类别信息他们希望访问,向用户显示这些,并获得明示同意共享任何数据之前,”Axten说。
在这次针对开发者和企业家的f8会议上,扎克伯格还宣布,Facebook将取消对用户数据保留的限制,此前该限制要求开发者存储和缓存任何数据的时间不得超过24小时。Tyson表示,这意味着许多应用程序开发人员现在将把用户的信息保存在本地数据库中,时间长短不一。他说,如果一个应用程序的数据库遭到破坏,黑客现在就能获取大量用户信息。
泰森表示,虽然他同意Facebook的新要求,即在获得用户同意的情况下,对应用程序正在访问哪些数据作出更清楚的解释,但他怀疑普通用户是否能获得这一信息。
“我认为人们没有意识到有多少信息正在被传递,”泰森说。我不认为人们知道,在所有这些他们批准的游戏、测试和应用程序中,他们分享了大量存储在其他地方的信息。”
这个故事,“关于隐私和安全,Facebook没有告诉你的4件事”最初是由方案 .