Facebook vēlas piegādāt jūsu interneta draivera licenci

Lai gan daudziem tas nav acīmredzams, Facebook pašlaik pārvēršas no pasaulē populārākās sociālo mediju vietnes par būtisku interneta identitātes infrastruktūras daļu. Ja tas izdosies, Facebook un Facebook konti kļūs par vēl lielāku hakeru mērķi.





Kamēr drošības speciālisti apspriež, vai internetam ir nepieciešams identitātes slānis — vienots protokols lietotāju identitātes autentificēšanai, arvien vairāk vietņu balso ar savu kodu, pieņemot Facebook Connect kā veidu, kā ikvienam, kam ir Facebook konts, var pieteikties vietnē ar pogas klikšķi.

Facebook ieviesa Connect 2008. gada jūlijā, piedāvājot trešo pušu vietņu rīkus, lai saskaņotu ar Facebook glabāto lietotāja informāciju, tostarp pieteikšanos. Tādējādi vietnēm bija iespēja ļaut Facebook lietotājiem identificēt sevi ar savām Facebook identitātēm.

Tā, piemēram, tīmekļa statistikas pārdevējs Alexa sniedz jauniem lietotājiem iespēju izveidot kontu, ievadot lietotājvārdu un paroli vai vienkārši noklikšķinot uz pogas Savienot ar Facebook. Labi pazīstamās vietnes, kurās tiek izmantots arī Connect, ir interneta filmu datu bāze, Ask.com un ESPN. 2011. gadā gandrīz noteikti dosies arī citi.



Facebook identitātes sistēma varētu nodrošināt kaut ko tādu, ko VeriSign, Microsoft, Yahoo un Google ir centušies piedāvāt: vienu interneta vadītāja apliecību. (Tas atstāj malā jautājumu, vai ir labi, ja viens uzņēmums ieņem šādu varas pozīciju.)

Unikāla faktoru kombinācija padara Facebook labi piemērotu cilvēku identitātes krātuvei internetā. Atšķirībā no daudzām populārām vietnēm, lietotājiem ir jāreģistrējas un jāpiesakās. Un Facebook pakalpojumu sniegšanas noteikumi pieprasīt lietotājiem sniegt savus īstos vārdus un informāciju — Facebook patiešām ir pārtraucis kontu darbību, kas tika izveidoti ar šķietami viltotiem vārdiem vai izdomātiem varoņiem. Tā kā Facebook lietotāji iegulda savos kontos milzīgu daudzumu ilgstoša personiskā satura, tostarp fotogrāfijas, kontaktinformāciju un savienojumus ar savu sociālo tīklu, viņi, visticamāk, saglabās ilgtermiņa attiecības ar vietni.

Šī reālās identitātes noturība nodrošina Facebook, ka tā var atrisināt vienu no mūsdienu aktuālākajām interneta problēmām — lietotājvārdu un paroļu izplatību.



Pretēji mūsdienu praksei lielākajai daļai vietņu nav iemesla likt lietotājiem izveidot lietotājvārdus un paroles. Lielākajai daļai vietņu nav nepieciešams vai pat nav nepieciešams pārvaldīt savu lietotāju identitātes — tās vienkārši vēlas veidu, kā laika gaitā droši identificēt savus lietotājus. Piemēram, mediju vietnes vēlas pievienot komentārus un ierobežot surogātpastu. Personīgo finanšu tīmekļa vietnes vēlas sniegt lietotājiem iespēju droši pārraudzīt ļoti personisku informāciju, piemēram, akciju portfeli, ko lietotājs var ievadīt.

Turklāt lietotāja identitātes infrastruktūras uzturēšanai ir savi riski — kā tas kļuva sāpīgi skaidrs pagājušajā mēnesī, kad hakeri ielauzās Gawker Media pārvaldītajos serveros un lejupielādēja lietotājvārdus un paroles vairāk nekā miljonam Gawker kontu. Lai gan paroles bija šifrētas, daudzas no tām bija viegli uzminēt, tāpēc kontus varēja viegli uzlauzt, saskaņā ar uzbrukuma analīze Kembridžas universitātes drošības pētnieki. Pēc uzbrukuma vairākas nesaistītas vietnes, tostarp LinkedIn un Woot, saviem lietotājiem nosūtīja e-pastu, brīdinot viņus nomainīt paroles, ja tās ir tādas pašas kā Gawker.

Facebook pieteikšanās ļauj jebkurai vietnei uz planētas izmantot savu identitātes infrastruktūru un pamatā esošos drošības pasākumus. Facebook pieteikšanos ir viegli ieviest, vienkārši tīmekļa serverim pievienojot dažas koda rindiņas. Kad šīs izmaiņas būs veiktas, vietnes lietotāji redzēs pogu Savienot ar Facebook. Ja viņi jau ir pieteikušies pakalpojumā Facebook (nesen apmeklējuši vietni), viņi var vienkārši noklikšķināt uz tā, un viņi ir iekšā. Ja viņi nesen nav pieteikušies, viņiem tiek prasīts ievadīt savu Facebook lietotājvārdu un paroli.



Interesants blakus ieguvums vietņu operatoriem ir tas, ka Facebook Login nodrošina vietni ar lietotāju īstajiem vārdiem (vairumā gadījumu) un pēc izvēles arī dažādu citu informāciju, piemēram, lietotāju draugus un atzīmes Patīk. Pašlaik Facebook neiekasē maksu no vietnēm, lai tās izmantotu savu identitātes infrastruktūru vai piekļūtu šai papildu informācijai, lai gan Facebook noteikti varētu nākotnē.

Facebook jau labi pārzina interneta drošības problēmas, jo tajā ir vairāk nekā 500 miljonu cilvēku personas dati. Plašāka Facebook platformas izmantošana lietām, kas nav saistītas ar sociālajiem medijiem — piemēram, banka Jaunzēlandē novembrī paziņoja, ka tā ļaus klientiem piekļūt banku informācijai pakalpojumā Facebook, acīmredzami rada jaunas bažas. Un, ja uzņēmums paplašina savu sasniedzamību, piedāvājot universālu pieteikšanos tīmeklī, izaicinājumi, ar kuriem tas varētu saskarties, kļūs vēl lielākas.

Patiešām, dažu pēdējo gadu laikā Facebook ir veicis pasākumus, lai uzlabotu savas platformas drošību vairākos veidos.



Piemēram, pagājušajā gadā Facebook ieviesa sistēmu, kas ļauj lietotājiem pieprasīt vienreizēju paroli, lai pieteiktos no publiska termināļa, kurā, iespējams, ir instalēta taustiņsitienu reģistrēšanas spiegprogrammatūra. Lietotāji no reģistrēta mobilā tālruņa nosūta SMS īsziņu ar burtiem otp uz 32665 (FBOOK), un Facebook serveri nosūta atpakaļ paroli, kuru var izmantot tikai vienu reizi, lai pieteiktos lietotāja kontā. Teorija ir tāda, ka nav nozīmes tam, vai hakeris izmanto paroles sniffer, jo parole nedarbosies otrreiz.

Vēl viens jauninājums ir veids, kā Facebook lietotājiem ļauj pārraudzīt dažādas tīmekļa pārlūkprogrammas un ierīces, no kurām viņi piesakās Facebook. Noklikšķinot uz Konta iestatījumi nolaižamajā izvēlnē un atlasot sadaļu Konta drošība, Facebook lietotāji var redzēt visas pašlaik autentificētās ierīces, no kurām var attālināti atrakstīties — tas ir noderīgi, ja esat pieteicies vecāku datorā. Varat arī likt Facebook nosūtīt SMS paziņojumu uz jūsu mobilo tālruni ikreiz, kad jauna ierīce piekļūst jūsu Facebook kontam. Protams, ja redzat savienojumu no iekārtas, kuru neatpazīstat, ir pienācis laiks mainīt paroli.

Diemžēl Facebook joprojām ir divas svarīgas ievainojamības, kas padara tās vietni ievērojami mazāk drošu nekā vairumam ASV banku: tā paļaušanās uz vienu lietotājvārdu un paroli, lai piekļūtu kontam, un nešifrēta sīkfaila izmantošana, lai izsekotu, kuras tīmekļa pārlūkprogrammas. ir pieteikušies.

Lietotājvārda un paroles kombinācija nodrošina vājuma punktu. Facebook kontus var apdraudēt uzbrucējs, kurš var nozagt šo informāciju no citas vietnes vai uzminēt to, izmēģinot vairākas kombinācijas pēc kārtas (tā sauktais brutālā spēka uzbrukums).

Mēs esam izveidojuši sistēmas, lai aizsargātu pret šāda veida brutāla spēka uzbrukumiem, saka Simon Axten, Facebook pārstāvis. Piemēram, ja mēs atklājam vairākus aizdomīgus pieteikšanās mēģinājumus noteiktā kontā, mums būs nepieciešama CAPTCHA, un mēs pat varam uz laiku apturēt piekļuvi kontam.

Facebook uzrauga vairākus signālus, tostarp atrašanās vietu un ierīci, saka Axten, lai noteiktu, kad konts tiek pakļauts ilgstošam uzbrukumam. Kad esam atzīmējuši mēģinājumu, pat ja ir ievadīti pareizi pieteikšanās akreditācijas dati, mēs pieprasīsim personai, kas piesakās, nodrošināt papildu autentifikāciju, piemēram, atbildot uz drošības jautājumu, ievadot kodu, kas nosūtīts īsziņā vai identificējot draugus. atzīmēts fotoattēlos, kuriem konta īpašniekam ir piekļuve.

Tomēr ir veidi, kā piekļūt personas Facebook kontam, pat nezinot paroli. Tas ir tāpēc, ka Facebook izmanto to, ko sauc par autentifikācijas sīkfailu, lai izsekotu tīmekļa pārlūkprogrammai, kad tas ir pieteicies. Atšķirībā no Facebook parolēm, kuras tiek šifrētas, kad tās tiek sūtītas internetā, sīkfaili tiek nosūtīti uz Facebook nešifrētajiem tīmekļa serveriem katru reizi. dators sazinās ar vietni. Tas nav liels risks, ja darbā vai mājās izmantojat vadu interneta savienojumu vai šifrētu bezvadu savienojumu. Taču, ja izmantojat Facebook, izmantojot nešifrētu bezvadu piekļuves punktu kafejnīcā vai lidostā, kāds, kurš klēpjdatorā izmanto pakešu sniffer, var nozagt jūsu autentifikācijas sīkfailu un pēc tam pieteikties pakalpojumā Facebook kā jūs.

Pagājušajā rudenī šādu šņaukšanu kļuva vieglāk nekā jebkad agrāk, kad Ēriks Batlers, ārštata tīmekļa lietojumprogrammu un programmatūras izstrādātājs Sietlā, izlaida Firefox spraudni ar nosaukumu Ugunsaita kas automatizē procesu. Ja Firesheep darbojas pārlūkprogrammā Firefox, jūs saņemat sarakstu ar visiem autentifikācijas sīkfailiem, kas ir nozagti: vienkārši noklikšķiniet uz konta nosaukuma un šeit — jūs piekļūstat lietotāja kontam, pat nepiesakoties.

Pašlaik vienīgais veids, kā pasargāt sevi no sīkfailu šņaukšanas, ir piekļūt Facebook, izmantojot šifrētu savienojumu vietnē https://ssl.facebook.com/ . Saskaņā ar Axten teikto, serveris joprojām tiek testēts, un turpmākajos mēnešos tas tiks plašāk reklamēts kā iespēja. Viņš piebilst: Kā vienmēr, mēs iesakām cilvēkiem būt piesardzīgiem, sūtot vai saņemot informāciju, izmantojot nedrošus Wi-Fi tīklus.

Axten saka, ka Facebook saskaras ar drošības izaicinājumu, ar kuru ir saskārušies daži citi uzņēmumi vai pat valdības, ja tādi ir, aizsargājot vairāk nekā 500 miljonus cilvēku pakalpojumā, kas tiek pastāvīgi uzbrukts. Tas, ka mazāk nekā viens procents Facebook lietotāju jebkad ir saskārušies ar drošības problēmu vietnē, ir nozīmīgs sasniegums, ar ko mēs ļoti lepojamies.

paslēpties