我们要非常清楚:虽然Facebook已经收到了很多批评近来有关其新的隐私政策和开放图谱的概念,它允许他们与其他网站也将有机会获得一些Facebook的用户数据合作伙伴,Facebook是没有明确保管从你的秘密。但是,一些安全专家和用户不断地敲网站他们说什么都了解您的数据都低于明确的解释,以及如何确保网站真的是。
维护该网站的社交媒体安全专家乔伊·泰森(Joey Tyson)说社会黑客说有Facebook的经验,在雷达之下发生的重要数据安全和隐私问题。这是Facebook的不是直接说给会员。
我们不希望您更改您的隐私设置
Facebook的隐私政策在过去几年里有了很大的变化——看看电子自由基金会的Facebook的隐私政策时间表。在Facebook创立之初,隐私是由用户严格控制的。如今,用户无法将个人资料的某些部分设置为私有。其他部分可以保密,但需要做很多工作才能弄清楚。在Facebook上改变你的隐私设置最近被一些安全专家称为“今天的VCR编程版本”。
泰森说:“Facebook已经表明,他们一直在推动用户分享得更多、更公开。”“虽然他们提供了用户控制,但他们似乎想让人们公开地分享。”Tyson notes that it is important not to think Facebook doesn't offer privacy. Facebook wants members to use the site, even if it is in a private fashion. But that is not their preference. As a result, if you engage many of the privacy controls, you will be asked if you really want to do it.
将你的信息公开会让你成为Facebook诈骗的目标。读脸谱网、推特网的骗局要避免和还要避免5个Facebook、Twitter的骗局)
他们在网站上描述某件事是做什么的一些解释可能会让人非常困惑。(举个例子,登录你的Facebook账户然后就可以了这里,调整你的隐私设置)就好像他们不愿意站出来说“你的数据就会这样”,因为他们不想吓到别人。他们希望为那些重视隐私并希望限制访问的人提供控制。但与此同时,如果他们在用户面前推行这种做法,并提醒他们所有这些不同的隐私设置,人们就不太可能分享,而这不是Facebook想要的。”
Facebook负责公共政策的副总裁艾略特·施拉格,来自纽约时报的读者回答问题甚至承认社交网络可以做得更好。
“很明显的是,尽管我们的努力,我们没有做足够好的工作传达的变化,我们正在做,”施拉格,以飨读者说。“更糟的是,我们广泛的努力,为用户提供了他们分享显得太为我们的一些超过400万个用户的困惑是什么,以及如何更好的控制,这是不能接受的或可持续,但它肯定是可以解决的。你指出的东西我们需要解决“。
至于公司对于人们到底想要多少隐私的立场,Facebook创始人兼首席执行官马克·扎克伯格(Mark Zuckerberg)在twitter上为Facebook的隐私改变进行了辩护Crunchie大奖将在一月份揭晓他说:“人们已经真正适应了不仅分享更多不同种类的信息,而且更开放地与更多人分享。这种社会规范是随着时间发展而形成的。”
我们有超过应用程序的安全性难以控制
泰森说,Facebook在跟踪网站自身的漏洞和保护用户方面做得很好。问题在于它们的应用程序编程接口(api)和第三方数据访问。
“当您使用与Facebook交互的应用程序,您将信任该应用程序和安全的水平,以及,指出:”泰森。“这是值得很多人不理解或落实;他们有多么的信任放在它们使用的不是Facebook所以,如果有一个应用程序中的漏洞的应用程序,这可以被利用来谈谈Facebook的代表您。“。
问题的关键是:任何的应用程序可以访问数据方面做的;即:发布链接,分享故事或图片,攻击者如果他们攻击的应用程序,同样的能力。
漏洞有多普遍?泰森去年9月进行了一些研究,汇编了他所谓的“一个月的Facebook漏洞”。他发现Facebook上排名前10的应用程序中有6个在这段时间内被入侵。最近,他做了类似的研究,发现前10名中有一半仍然受到影响。
泰森表示:“这些数据表明,这是一个严重的问题,但尚未得到充分利用。”“但是现在我们看到Facebook在网络上传播得越来越多,我认为攻击者真的会注意的。我们开始看到越来越多的人使用社交网络传播恶意软件。”
但是专注于网站安全的Facebook的Simon Axten最近联系了CSO,澄清了应用程序的安全性。
他在电子邮件中说:“无论大小,开发者都必须遵守我们的平台政策指南,要求应用程序提供值得信赖的体验。”“我们会定期执行这些指导原则,并禁用我们发现违规的应用程序。”
Axten还指出,用户有许多选项来控制他们与应用程序共享的信息。包括:
- 如果你担心的应用程式,或可以访问数据,不批准它。
-应用程序受应用程序隐私设置的限制。也就是说,你可以配置你朋友的应用程序可以和不能访问什么(设置)在这里)
你可以屏蔽应用程序,就像你屏蔽Facebook上的个人一样。
但问题不只是应用。Facebook目前正在与其他网站合作,作为其新的即时个性化模式的一部分,因此根据Tyson的说法,这对其他网站的安全也有影响。本周早些时候,一名安全研究人员发现了一个漏洞,利用跨站点脚本将恶意代码注入到该试点项目的合作站点之一Yelp中。这个漏洞在被修补之前就被发现了,它可以让恶意网站立即获取Facebook用户的姓名、电子邮件以及与Facebook上“每个人”共享的数据,而用户不需要采取任何行动。
Facebook的Axten说CSOonline通过电子邮件:
“我们新的即时个性化功能是一个有限的试点项目,与三个合作伙伴(微软、Pandora和Yelp)合作,我们精心挑选这些合作伙伴来优化在文档、音乐发现和寻找本地企业方面的合作体验。”
“每位合作伙伴都是经过预先挑选和审查的,都受到Facebook合同的约束;就像我们在其他情况下与其他合作伙伴合作提供独特和创新的经验一样。需要强调的是,这只是一个试点项目,人们会得到明确的通知,在合作伙伴网站和Facebook上选择退出这种体验的机会也很容易很明显。”
我们知道你正在访问哪些网站
已经有相当多的敲打什么信息Facebook正在与其他各方共享,特别是因为即时个性化概念的揭幕鼓。但泰森说,许多成员不考虑什么信息的Facebook本身是收集关于你的。作为新计划的一部分,Facebook正在使用社交插件,使用户现在可以看到其他朋友都“喜欢”或评论在网络上的其他网站。Facebook的自己形容他们的社交插件作为“可以添加到任何网站为人们提供个性化和社会经历简单的工具。”
“在某些方面,这种行为与追踪广告网络使用的cookie并没有什么不同,”泰森指出。“但主要的区别在于,Facebook现在拥有你个人资料中的个人身份信息。他们知道你不仅仅是一个在cookie上被标记了代码的匿名用户。他们有很多关于你的信息,你的兴趣,具体的数据。”
他们应该拥有它吗?Tyson说,虽然这个概念肯定支持Facebook努力使网络体验尽可能个性化,并在其中加入一些有益的功能,但他怀疑很多用户没有意识到Facebook拥有的信息的规模,以及他们在Facebook之外的活动。
你的信息被储存在Facebook之外的地方
正如CSO在退出Facebook的10个安全理由在美国,当你授权下载一个应用程序时,第三方应用程序开发者可以访问你的一些个人资料信息,比如Farmville, Mafia Wars或者用户可以通过他们的个人资料访问的其他数以千计的应用程序。
正如Axten在给CSO的邮件中指出的那样,Facebook表示,它要求开发者在用户下载前告知他们将访问哪些信息。
“应用程序必须得到用户的明确授权,才能访问任何不是一般可用或设置为‘所有人’的信息。”我们新的权限模型,我们可用两周前在f8开发者大会,并将强制要求所有开发人员从6月1日开始,要求应用程序指定的具体类别信息他们希望访问,向用户显示这些,并获得明示同意共享任何数据之前,”Axten说。
同时F8大会上,其目的是在开发者和创业者,扎克伯格还宣布,Facebook的与Facebook应用程序,而此前要求开发商不能存储和缓存的任何数据超过24小时内对用户数据保留的限制做了。这意味着许多应用程序开发人员现在节省约在本地用户在数据的基础上的时间有数量不明的信息,泰森说。如果应用程序的数据库被泄露,那黑客现在将有机会获得大量的用户信息,他说。
泰森表示,虽然他同意Facebook的新要求,即获得用户同意,并对应用程序访问哪些数据进行更清楚的解释,但他怀疑一般用户是否接受这一要求。
“我认为人们没有意识到有多少信息正在被传递,”泰森说。I don't think people know that in all of these games and quizzes and apps they have approved that in doing so they are sharing a lot of information that is being stored somewhere else."
这个故事,“Facebook没有告诉你的关于隐私和安全的4件事”最初是由CSO 。