Том Естон: Facebook пробує нові шляхи інновацій у безпеці, хоча й досі не звертає уваги на інші простіші виправлення. Чи варто вам дбати про ці нові елементи керування?
Гостьова редакція Тома Естона
Скажімо, ви ввійшли в систему вдома, але пізніше хочете увійти у Facebook за допомогою іншого комп’ютера (тобто свого робочого). Якщо у вас не було зареєстровано робочий комп’ютер, вам доведеться його зареєструвати, і ви отримаєте електронний лист про те, що новий пристрій використав ваш обліковий запис. Мета полягає в тому, щоб користувач отримував сповіщення, якщо хтось інший, крім вас, використовує ваш обліковий запис.
Остання частина була реалізована Facebook у травні, але з останнім оголошенням Facebook тепер фактично показуватиме користувачам сеанси, увійшли в систему. Будь-який користувач Facebook тепер може миттєво завершити ці сеанси одним клацанням миші. Базуючись на блозі Facebook, активність облікового запису показуватиме час доступу до Facebook, встановлену назву пристрою, місцезнаходження (на основі інформації про IP) і тип пристрою (веб-браузер або мобільний пристрій), за допомогою якого рахунок.
Моя перша реакція — це хороший додатковий крок у правильному напрямку. Однак варто подумати про чотири речі:
- Чи знаєте ви, що можете отримувати сповіщення електронною поштою або SMS, коли хтось інший використовує ваш обліковий запис Facebook? Можливо, ви ні, оскільки цей параметр за замовчуванням вимкнено. Ця функція була доступна для всіх користувачів Facebook на початку цього року. Особисто я вважаю захоплюючим, що найбільш суперечливі функції Facebook щодо конфіденційності "ввімкнено" за замовчуванням, але нові елементи керування безпекою завжди "вимкнено".
- Традиційно Facebook погано рекламує власний контроль безпеки. Це оголошення не є винятком. Тим не менш, соціальна мережа швидко повідомляє, що вона може просканувати вашу адресу електронної пошти та зібрати електронні адреси ваших друзів, щоб перевірити, чи є вони на Facebook. Ви бачите ці оголошення досить часто, коли вперше входите у Facebook. Чому б не оголосити про нові заходи безпеки таким чином? Якщо ви не отримуєте оновлення сторінки безпеки Facebook у своєму потоці, не чуєте про це від когось із своїх друзів або не читаєте цю статтю, ви, ймовірно, не знаєте про існування цієї функції.
- Додавання місцезнаходження до активності вашого облікового запису в цьому контролі безпеки є особливо цікавим з огляду на анонс Facebook Places. Здається, це не пов’язано з вашим фактичним місцезнаходженням, яке використовує Facebook Places; швидше, він визначає ваше місцезнаходження через вашу IP-адресу. Ви це вже знаєте місцезнаходження може бути підроблено через Facebook Places але IP-адреса також може бути підроблена. Чи можуть зловмисники зловживати цією функцією? Тільки час покаже.
- Мене зацікавило запитання, поставлене Facebook в оголошенні: «Чи коли-небудь ви позичали телефон друга, щоб користуватися Facebook, а потім забували вийти, перш ніж повернути його?" Чому ми вважаємо, що це нормально бачити логін Facebook і вводити наші облікові дані (на телефоні вашого друга, навіть)? Ось чому фішинг для Facebook та інших облікових записів все ще працює надзвичайно добре. Ось чудовий приклад. Чи були ви нещодавно в Apple Store? Подивіться, скільки людей використовують Facebook на комп’ютерах, які їм не належать, і забувають вийти з системи. Чи ми просто не дбаємо про безпеку облікових даних, які мають доступ до нашої особистої інформації?
Незважаючи на те, що ці чотири моменти можуть здатися негативними для цього нового контролю, Facebook пробує нові та інноваційні способи додати додаткові рівні безпеки. Але чи скористаєшся ти цим і чи тобі це навіть не байдуже?
Том Естон є старшим консультантом з безпеки компанії SecureState. Том бере активну участь у спільноті безпеки та зосереджує свої дослідження на безпеці соціальних мереж. Він є засновником SocialMediaSecurity.com, онлайн-спільноти, присвяченої викриттю незахищеності соціальних мереж. Том також є блогером безпеки та співведучим подкастів Security Justice та Social Media Security.