Nyílt levél a Facebook biztonságról

2011. április 18. 15:50 - Csizmazia Darab István [Rambo]

Kedves Facebook! Így kezdődik Graham Clueley levele, és bár lehet sokaknak az április elsejei posztunk ugrik be, ám ezúttal valóban komoly dologról van szó.

Az első és legjobb bemelegítő logikai probléma legyen az, hogy ugye mint az közismert, vannak ezek az átverős, trójai applikációk, csalárd alkalmazások, ahol sokszor és sokan tanácsolják az egyszeri juzernek, hogy használj naprakész vírusvédelmet, használj fekete és fehérlistákat kezelő böngésző kiegészítőket: NetCraft Toolbar, Finjan Secure Browsing, McAfee, PhishTank, stb.), használj NoScript kiegészítőt, aztán meg ne kattintgassunk ész nélkül. Rendben, ez eddig oké, segíts magadon, és Isten is megsegít. De mit csinál eközben a Facebook? Ők miért nem tesznek valamit? Sőt még jobban átfogalmazva, miért nem tesznek már valamit ők - is? Nem utolsósorban pedig vajon csökken-e világszerte a kártékony Facebook alkalmazások száma, ha valódi, a megfelelő helyen elvégzett megoldás helyett mindenki csak a kliens végpontokon űzi az ördögöt magának kínjában? Megszentségtelenítjük a költői kérdést, és válaszolunk rá: nem, nem csökken. Majd az utókor eltöprenghet a történelemórán, hogy miért nem tisztítjuk ki egyszer, egy helyen a nagy közös kutat, helyette inkább mind a 600 millió felhasználó szív, vagy beleszór 600 milliószor egy marék Katadyn tisztítótablettát a 600 millió vizespohárba. Bravó!

Hát igaziból itt van a kutya elásva, és a továbbiakban nézzük is meg ezt a bizonyos levelet. Petőfivel ellentétben itt nem tizenkettő, mindössze három fontos pont szerepel, ezek közül is az első mindjárt a privátszféra védelmét erősítő, már korábban is, meg többször is falrahányt borsóként javasolt optin rendszerű megosztás, azaz ne menjen minden azonnal automatikusan (S. éppen fehér színű, XXXL méretű óvszert választ az online shopban), hanem csak az, amit a felhasználó önként, saját döntése alapján engedélyez. Hehe, végülis merjünk nagyot álmodni, nem? Gyáva népnek nincs hazája.

Második pontként következik a Facebook fejlesztők alaposabb ellenőrzése. Ma bárkiből lehet ilyen, számuk meghaladja már az egymilliót, és sokan közülük ontják a kártékony, becsapós, adathalászós, és egyéb kéretlen no meg nemkívánatos holmikat. Emlékezhetünk, hogy a Symbian esetében is hozott pozitív eredményt a 9.0 aka S60R3 verzióval bevezetett szigorító szabály, amibel a digitálisan aláírt, jóváhagyáson alapuló módszert vezették be. Sosem lesz vége a Fancheck típusú hamis alkalmazásoknak, ha nem ott ragadják meg a lényeget, ahol azt kellene. (ám debár lett volna ide más, kevésbe elegánsan szalonképes hasonlat is :-).

Végül a harmadik pont arról szól, szép ez a HTTPS "everywhere is it possible", de ennek inkább defaultnak kellene lennie és mindig. Vagy ahogy Jack Bauer mondaná, "this is not an option, this is an order". Akkor működhetne ez igazán hatékonyan.

Szóval összegezve a válogatott lényeget, kíváncsian várjuk (na jó, sejtjük az eredményt, de azért hátha, mégis, netalántán, esetleg vajha, reménykedni már csak szabad, vagy nem) a választ a levélre: "Why wait until regulators force your hand on privacy? Act now for the greater good of all. Your users tell us that these are issues they want resolved. So our question is simple: when do you plan to act?"

3 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr42836492

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

stvn · http://blogok.info 2011.04.18. 16:12:42

Valószínű, hogy a https-ből lesz valami hamarosan, legalábbis a fejlesztőket "szekírozzák", hogy az iframe appoknak legyen ssl változata is...

buherator · http://buhera.blog.hu 2011.04.18. 17:43:29

"Majd az utókor eltöprenghet a történelemórán, hogy miért nem tisztítjuk ki egyszer, egy helyen a nagy közös kutat, helyette inkább mind a 600 millió felhasználó szív, vagy beleszór 600 milliószor egy marék Katadyn tisztítótablettát a 600 millió vizespohárba." - Ez azért nem működik, mert a FB alkalmazások nem a FB-nál futnak, így nem lehet őket központilag ellenőrizni. A HTTPS pedig nem ér semmit, ha az egységjúzer minden alkalmazást ész nélkül telepít.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2011.04.18. 20:24:49

Hali!

Ebben igazad van, de ettől függetlenül ha lenne azért egy ellenőrzés, szűrés már az elején, ez jótékonyan jelentkezne a kártékony appok darabszámában, Meg nyilván teljesen sosem szűnne meg, és akkor mindenki a frissítésekbe pakolná a görénységet, de ha meg nem tesznek semmit se, azért az se jó.

A júzer ellen nincs orvosság tételben is van igazság, de vegyük azt, hogy GC minden tanácsát megfogadják (1%). Csökkenne úgy a véletlen megosztásos adatszivárgás, a kecsege appok egy nap alatti sokezres ámokfutásos tarolása, az account lopási ráta? Én úgy vélem, hogy igen.

Murphy szerint azt mindenki briliánsanl meg tudja magyarázni, miért nem csinál meg valamit :-) Van valami olyan dakota okosság: többet használsz azzal, ha gyújtasz egyetlen gyertyát, mintha álló nap az Edison társaságot szidalmazod. Úgy tippelem, Zuckkerék pénzüknél vannak így is, ezért amíg nincs igazi versenyhelyzet, magasról tesznek rá, csak pörögjön a forgalom, legyen az aztán bármitől.