Dopo la recente epidemia di un worm che gli account utente hacked Facebook e diffuse attraverso i contatti degli utenti, Facebook ha risposto con un post con consigli per gli utenti di consigli generali sulla sicurezza del web. Capo Facebook di sicurezza Max Kelly, un esaminatore FBI ex computer forensics, ha scritto una post di un blog con consigli per gli utenti di Facebook, tra cui:
Come utente Facebook si possono aiutarci a proteggere l'utente da fare le seguenti cose:
* Relazione qualsiasi messaggio di spam o di distacco si vede. Le relazioni più abbiamo, più facile è per noi di rispondere in modo decisivo.
* Non condividere la tua password di Facebook con nessuno. Mai. Nessun dipendente Facebook potrà mai chiedere, e nessun altro dovrebbe saperlo. Se siete mai chiesto di accedere a Facebook, assicurarsi che sia da un indirizzo web Facebook legittimo. If something looks or feels off, go directly to www.facebook.com to log in.
Mai entrare le credenziali su un sito non Facebook è un consiglio molto buono, che la maggior parte degli utenti dovrebbero ormai sapere e dovrebbe aderire. Il problema è che Facebook non sembrano sostenere questi stessi principi, quando si tratta di uno credenziali degli utenti da altri siti, come ad esempio un utente nome utente di Google e la password, che chiede Facebook quando un utente importazioni loro contatti. La schermata qui sotto è da Facebook, la sua funzione in cui un utente può effettuare il login al proprio account Google, account Hotmail o Yahoo, all'interno del sito Facebook, per recuperare i loro contatti.
Questa caratteristica molto direttamente in contrasto con ciò che Facebook ha dichiarato nel suo parere una buona sicurezza. Mentre il messaggio sotto la casella non statali che non memorizzare le password, il punto è più che la pratica di immettere le credenziali degli utenti direttamente da un altro sito è una decisione molto cattiva progettazione e la prassi generalmente molto poveri. Ognuno dei siti che Facebook si integra con supporti OAuth o di un analogo protocollo di autenticazione che non richiede all'utente di inserire sia il proprio nome utente e la password. Meglio ancora, la maggior parte di questi servizi forniscono anche una API in cui l'utente può concedere l'autorizzazione a Facebook per accedere solo ai loro rubrica, e non tutta la loro posta elettronica e di certo non ogni altro servizio legato al suo interno.
Il team di sicurezza Facebook hanno dichiarato che è una buona pratica sul loro blog, forse il suo momento per loro di indirizzare le loro energie a livello interno e supporto per evangelizzare OAuth e altri formati di dati aperti sia un meccanismo più sicuro e conveniant per lo scambio di dati.
Crunch Network: CrunchBoard perché è tempo per voi di trovare un nuovo Job2.0
