Na de recente uitbraak van een worm die gehackte accounts gebruiker Facebook en verspreid door de gebruikers contacten, Facebook reageerde met een post met een advies aan de gebruikers over algemene tips over web beveiliging. Facebook hoofd van de beveiliging Max Kelly, een voormalig FBI-computer forensisch onderzoeker, schreef een blog post met advies aan Facebook gebruikers, waaronder:
Als een Facebook gebruiker kunt u ons helpen u te beschermen door het doen van de volgende dingen:
* Verslag elk spambericht of posting van je ziet. Hoe meer verslagen die we krijgen, hoe makkelijker het is voor ons doorslaggevend om te reageren.
* Deel nooit uw Facebook wachtwoord met niemand. Nooit. Nee Facebook werknemer ooit zal vragen, en niemand anders mag het weten. Als je ooit wordt gevraagd om in te loggen om Facebook, zorg ervoor dat het van een legitieme Facebook webadres. Als iets ziet of voelt af, ga direct naar www.facebook.com om in te loggen
Nooit het invoeren van uw referenties op een niet-lid van Facebook site is erg goed advies, dat de meeste gebruikers moeten weten en nu moeten voldoen. Het probleem is dat Facebook niet lijken te diezelfde opdrachtgevers te ondersteunen als het gaat om een gebruikers geloofsbrieven van andere sites, zoals een gebruikers Google-gebruikersnaam en wachtwoord, die Facebook vraagt wanneer een gebruiker de invoer van hun contacten. De schermafdruk hieronder is van Facebook, zijn de functie waar een gebruiker kan inloggen op hun Google, Hotmail of Yahoo-account, vanuit de Facebook site, op te halen hun contacten.
Deze zeer functie rechtstreeks in strijd met wat Facebook heeft in haar eigen goede beveiliging advies. Terwijl het bericht hieronder het vak heeft verklaard dat ze geen wachtwoorden opslaan, het punt is dat de praktijk van de gebruikers direct invoeren van de geloofsbrieven van een andere site is een zeer slecht ontwerp besluit en over het algemeen zeer slechte praktijken. Elk van de sites die Facebook integreert met ondersteunt OAuth of een soortgelijke authenticatie protocol dat niet vereist dat de gebruiker zowel hun gebruikersnaam en wachtwoord in te voeren. Beter nog, de meeste van deze diensten ook een API waarin de gebruiker toestemming kan verlenen aan Facebook om alleen toegang tot hun adresboek, en niet hun hele e-mail en zeker niet elke andere dienst gebonden in.
De Facebook security team hebben aangegeven wat is een goede gewoonte op hun blog, misschien is het tijd voor hen om hun energie rechtstreeks intern en ondersteuning voor evangeliseren OAuth en andere open data formaten als zowel een veiliger en conveniant mechanisme voor de uitwisseling van gegevens.
Crunch Network: CrunchBoard want het is tijd voor je een nieuwe Job2.0 te vinden
