Sophos: Otevřený dopis Facebooku ohledně bezpečí a soukromí (uživatelů)

facebook-zuckerberg-open-graphSophos vyzývá otevřeným dopisem (An open letter to Facebook about safety and privacy) Facebook k zlepšení péče o bezpečí a soukromí uživatelů. Varuje před každodenními případy zločinů a podvodů na Facebooku. Nabízí tři základní pravidla, která by Facebook měl začít dodržovat.

Soukromí jako standard

Je nutné ukončit praxi sdílení čehokoliv bez jasného souhlasu uživatele (opt-in). Přidávání nové funkčnosti sdílení informací o uživateli nemůže znamenat, že tato funkčnost bude automaticky povolena.

Prověření vývojářů aplikací

Je příliš snadné stát se vývojářem na Facebook – svědčí o tom více jak milion vývojářů aplikacích registrovaných na Facebook platformě. A není žádné překvapení, že Facebook je zaplaven škodlivými aplikace a virálními podvody. Pouze prověření a schválení vývojáři by měli mít svolení publikovat aplikace na platformě.

HTTPS pro všechno

Sophos vítá umožnění přístupu přes HTTPS, které je ale standardně vypnutí. A navíc je nabízeno jenom “tam kde je to možné”. Facebook by měl vynutit bezpečné spojení ve všech případech.

Komentář

Soukromí na Facebooku neexistuje a roky existence Facebooku stále ukazují, že Facebook dělá maximum pouze pro dosažení zisků – a vždy znovu a znovu zkouší, jak daleko může zajít. Uživatelé jsou navíc nepozorní, neuvědomují si možné důsledky svého chování a “bezpečnostní dialogy” proklikávají tradičně bez čtení – zpravidla jsou stejně nic neříkající a pro technicky nezkušené uživatele jsou nesrozumitelné.

Facebook soukromí uživatelů ignoruje, ale nejenom v otázce sdílení informací – neochota jakkoliv s uživateli komunikovat v případě problémů (chybí jakákoliv uživatelská podpora) znamená i to, že případy zneužívání fotografií, ponižování či šikany nejsou Facebookem řešení buď vůbec, nebo až za týdny a měsíce. A jediná spolehlivá cesta jak přimět Facebook k reakci je dostat tyto případy do amerických médií.

Aplikace jsou rájem tvůrců virů, podvodů a všech dalších aktivit, které využívají volnost Facebooku a nezkušenost (a mnohdy až hloupost) uživatelů. Facebook navíc daleko spíše bude promazávat neškodné malé aplikace (a znepříjemňovat život firmám), než by věnoval pozornost skutečně nebezpečným aktivitám. Viry a podvody na Facebooku mají zpravidla hodiny až dny života. A za tuto dobu dokáží napáchat velké škody.

Škodlivé aplikace velmi dobře umí využívat všechny “výhody”, které jim Facebook dává – rozsáhlý přístup k informacím o uživatelích, možnost spamu, zneužívání Událostí, označování ve fotografiích. Ve většině případů by omezení podobných funkcí znamenalo výrazné omezení celého Facebooku a je velmi málo pravděpodobné, že Facebook bude ochoten jít touto cestou – ohrozil by tím vlastní příjmy. A peníze jsou přeci vždy až na prvním místě.

Otázka zavedení dalších schvalovacích procesů pro aplikace je dvousečná zbraň – s neschopností Facebooku zajistit služby v přijatelném čase a absurdní neochotou jakkoliv komunikovat by něco takového znamenalo efektivní znemožnění vývoje jakýchkoliv aplikací. Aby to bylo možné, bylo by navíc nutné výrazně omezit možnosti Open Graph API a všech souvisejících služeb.

Pravdou je, že přísnější dohled nad aplikacemi (a hlavně zrychlení reakcí na vznikající problémy) by výraznou měrou omezilo spam a podvody.

Bezpečné připojení v prohlížeči sice na Facebooku (už) používat můžete (víte-li kde si tuto volbu zapnout), ale implementace je nedostačující – zejména v okamžiku, kdy vstoupíte do nějaké aplikace – tam HTTPS není možné. Některé části Facebooku na HTTPS připojení navíc nefungují správně a chovají se chaoticky, takže používat toto bezpečnější připojení k Facebooku je spíše problém než něco, co by uživatelům pomáhalo.

HTTPS připojení je navíc nutné jenom tam, kde se uživatel nachází na nezabezpečené síti (viz FireSheep umožní získat přístup k Facebook účtům. Nejenom k nim), tedy tam kde je možné očekávat odchytávání komunikace někým jiným – Facebook na veřejné Wifi je typickým příkladem, kdy je nutné používat HTTPS připojení. Ve firemních či domácích sítích (pokud to není zrovna otevřené WiFi) taková nutnost zpravidla není.