X

Doporučit článek

Vaše jméno:

Váš e-mail:

E-mail adresáta:

Komentář:

kontrolní kód

Odeslat

Blogy Živě » O programování a všem okolo
 

Bezpečnost Facebooku je věc nemožná?

23. 11. 2010, gisat_cz

Je bezpečnost na Facebooku věcí nemožnou? No nemyslím si, že by nebylo možné nějakým způsobem zabezpečit komunikaci na Facebooku. Bezpečnost sociální sítě Facebooku má taková tři základní bolavá místa týkající se zabezpečení.

Na prvním místě chybného zabezpečení Facebooku má svůj podíl také samotná společnost Facebook, druhý stupínek zaujímá mallware a třetí stupínek, který by se dal bez problémů spojit s druhým stupínkem zaujímají samotní uživatelé této sociální sítě.

Každý, kdo se trošku zajímá o Facebook ví zcela jistě, že tato sociální síť tak trošku více zanedbala bezpečnost, možná bychom mohli bez jakýchkoli výčitek prohlásit, že Facebook své zabezpečení a bezpečnost doslova zaspal.  Existuje celá řada jiných hojně světově využívaných služeb, které jsou zabezpečené daleko lépe. Například komunikace v mailovém účtu Gmail je zabezpečena pomocí SSL, kdežto ve Facebooku stejnou formu zabezpečení ani zdaleka nenajdeme.

Facebook obsahuje celkem docela závažnou bezpečnostní chybu. Pokud jste používali jakoukoli aplikaci tzv. třetích stran (tedy těch co nepocházejí z Facebooku), tak v URL spolu s jejím používáním poskytujete také provozovatelům těchto aplikací své osobní údaje uložené na této sociální službě. Navíc tyto údaje nejsou nikterak chráněné. To je také ten hlavní důvod, proč se o této sociální síti hovoří jako o propadáku zabezpečení.

Bez svého vědomí tak při používání aplikací poskytnete svá data někomu jinému. Už od začátku svého vzniku muselo být každému předem jasné, že k takovýmto problémům jednou musí dojít. Při defakto nulovém zabezpečení a rostoucím počtu uživatelů je více než pravděpodobné, že k bezpečnostním excesům dojde. Mark Zuckerberg, tvůrce a duchovní otec této sociální sítě, musel tedy kvůli nátlaku veřejnosti tuto bezpečnostní díru ucpat. Jedinčné číslo uživatele, které bylo dříve předáváno, bude nyní šifrováno - článek o chystaném šifrování ve Facebooku.

Dobře, mohlo by se zdát, že je vše vyřešeno, ale není. Osobně mi toto řešení připomíná ono pořekadlo o koze a hladovém vlkovi. Prostě ani s tímto šifrováním není zaručená větší bezpečnost uživatelů. Třetí aplikace by tedy mohly mít ztížený přístup k datům. No, opět to není až zas taková pravda, stačí aby aplikace tzv. tahala informace o uživateli z HTTP hlaviček a je opět “vymalováno”. Například zde může nastat nebezpečí tzv. kradení cookie.

Klasická HTTP komunikace je totiž pouze textovou záležitostí. Stačí jenom nějaký software, který naslouchá internetové komunikaci, poté odposlouchávat a nakonec analyzovat. Každý počítač je defakto v rámci dané služby identifikován pomocí tzv. cookie. Nyní stačí jenom odchytávat pakety a získat ono cookie. Poté už není problém takové sezení jedné relace “unést”. Představte si, že se přihlásíte na Facebook a “únosce” dat vám ukradne tímto způsobem vaše cookie. Takový “únosce pak může vystupovat na Facebooku jako vy.

Toto není problém ani při chystaném šifrování dat Facebookem. Proč tedy Facebook nenasadí něco lepšího, dokonalejšího? Proč asi myslíte, že Google ve svém Gmailu nasadil SSL? No hlavně kvůli takovému kradení cookies. SSL je technikou poskytující HTTPS komunikaci a dokáže relativně zabezpečit dané spojení. I toto spojení se dá rozlousknout. Takové rozlousknutí HTTPS je mnohem složitější a jeho zjištění trvá hodně dlouho. Rozluštění SSL v reálném čase je téměř věc nemožná, i když s SSD disky by se i toto dalo zvládnout.

Proč tedy Facebook nezavede SSL místo svých polovičatých řešení? No napadá mě jeden důvod. Provoz SSL vyžaduje daleko vyšší nároky na výkon serverů. Možná by se přidáním serverů nebo posílení serverů mohla i tato překážka odstranit. Dočkáme se tedy SSL Facebooku? No nevím. Prozatím to tak nevypadá.

Pokud by se vyřešil problém SSL zajištění, tak je zde ještě rovina nebezpečí na straně uživatele. Před časem uvedla antivirová společnost BitDefender výsledky své studie. Podle ní je pětina uživatelů Facebooku obětí malware. Kdo se z uživatelů této sociální sítě nesetkal se závadným odkazem šířícím se v chatu Facebooku? Odkaz sám o sobě nic neznamená, ale kliknutím na něj se do počítače nainstaluje bordel schopný se po této síti šířit dále a dále. Teoreticky by tedy i aplikace třetích stran mohla klidně uživatele přemístnit na závadné stránky.

Podle zjištění BitDefenderu zhruba 15,4 % závadných aplikací láká své oběti na Facebooku na bonusové body ve hrách jako je FarmVille a další. Zhruba 11,2 % aplikací lákají uživatele na falešné bonusy, třeba barevné pozadí, tlačítka navíc a další nesmysly. Tady vidíte, že za mnoha problémy jsou skutečně aplikace třetích stran. Když někdo dostane odkaz od uživatele na špatný obsah, mohu se s vámi stoprocentně vsadit, že na něj klikne a zaviruje si svůj profil.

Dalším problém bezpečnosti je ten, že mnoho uživatelů bez rozmyslu zveřejňuje data, která by se neměla zveřejňovat, bez vyšší úvahy přijímají a potvrzují žádosti o přátelství. Je možné tedy skutečně zabezpečit tak rozsáhlou síť jakou je Facebook? Nestačilo by tedy zavést jenom SSL komunikaci a zkrotit aplikace třetích stran? Facebook nyní chystá vylepšenou verzi zpráv. Nebude takové vylepšení spíše dalším zhoršením uživatelovy bezpečnosti?


Publikováno v rubrice Sociální sítě. Reakce v diskuzi lze sledovat prostřednictvím RSS 2.0. Můžete přidat komentář, nebo se na článek odkázat ze svého webu.

« Google Chrome OS bude nejspíš v beta verzi ještě tento rok
Google Cloud Connect pro Microsoft Office »
 

Komentáře v diskuzi

1.  Michal Kára(88.208.88.xxx)   24. 11. 2010, 10:43

“Facebook obsahuje celkem docela závažnou bezpečnostní chybu. Pokud jste používali jakoukoli aplikaci tzv. třetích stran (tedy těch co nepocházejí z Facebooku), tak v URL spolu s jejím používáním poskytujete také provozovatelům těchto aplikací své osobní údaje uložené na této sociální službě. (…) Bez svého vědomí tak při používání aplikací poskytnete svá data někomu jinému.”

Pokud by autor alespoň jednou použil na Facebooku nějakou aplikaci třetích stran, tak by věděl, že poskytnutí údajů aplikaci je nutné explicitně odsouhlasit. Takže jaké “bez svého vědomí”.

Co se týče SSL, tak souhlasím, asi se jim do toho nechce kvůli vyšší náročnosti.

2.  aldik(94.112.44.xxx)   28. 11. 2010, 00:51

co ten nadpis? :-D :-D

3.  maTTew(178.72.196.xxx)   28. 11. 2010, 02:08

Autor měl asi namysli to, že většina si ani nečte kam aplikace požaduje přístup, a prostě kline na Souhlasím.

4.  Ilfirin(81.200.57.xxx)   28. 11. 2010, 07:17

Autor Facebook používá pravděpodobně déle, než vy.
Ono odsouhlasení je tam jen poslední dobu, jinak to probíhalo bez něj -> klik a je to.

Nicméně Facebook je defective by design, o tom není pochyb.

5.  Jan Vojtíšek(82.117.156.xxx)   28. 11. 2010, 08:27

Nikdy nepochopím,jak se vůbec někdo může přhlásit na Facebook.Živí-
skuteční přátelé jsou v životě přínosem.Virtuální jsou k čemu? Snad
jen pro mimořádně osamělé lidi vytváří iluzi o sounáležitosti, ale osamělost zůstává.

6.  jimmbo205(89.102.130.xxx)   28. 11. 2010, 08:40

Ono ne nadarmo se řiká, že nejlepší antivir máme v hlavě. A pokud je někdo tak, s prominutím, blbej že kliká na každej odkaz co mu přijde v chatu, tak mu asi neni pomoci. Stejně tak všichni ti kteří věří tomu, že fungují aplikace tipu “pošli všem a ….”
Co se týče sdílení info, tak problém je jednak na straně FB, kterej implicitně nastavuje zobrazení “všechno všem”, takže člověk si to musí sám změnit. Ale to zase neomlouvá blbost uživatelů, kteří sdílejí všechny os. info co je napadnou, jen aby byli IN a COOL…

7.  AtlanteonArchie(109.80.116.xxx)   28. 11. 2010, 08:46

Jan Vojtisek. Vis oni to lidi pouzivaji se svymi prateli misto IM nebo e-mailu.
Nejstupidnejsi je asi ten fakt ze vase zajmy a temata jsou marketingove zneuzivany kdyz nemusi,
Vyhodu to ma jen tu ze se tam sejde Offline velka skupina lidi. Coz pres email IM nebo specializovane stranky takovych lidi nebude. Sam Facebook nemam nechci

8.  Dupl3xx(90.179.87.xxx)   28. 11. 2010, 09:37

Nevim co vsichni porad resite s bezpecnosti … s cimkoli co kde zadam na internetu musim pocitat, ze je to dohledatelny a muze to kdokoli zneuzit … proto davam na internet jen nektera data … co se tyka pouzivana FB, je to jeden z nejlepsich nastroju co kdy byl vytvorenej … kazdej ma v prumeru kolem 140 pratel .. i kdyz 100 pratel nevidel v poslednich 2 letech a 30 nevidel nikdy ..ale tak to proste je .. nikdo nikoho nenuti to pouzivat, kazdopadne je to nastroj komunikace do budoucna.. uz neni milion ruznych protokolu, a kdyz clovek potreboval s nekym mluvit, musel mit i special program… tady je vsechno na jednom miste

9.  Jirka(88.102.244.xxx)   28. 11. 2010, 10:13

Mě osobně vadí na Facebooku věc, která není v článku vůbec uvedena. Člověk si může svůj profil zabezpečit jak chce, ale je mu to stejně nanic. Facebook totiž všechny data prodává včetně věcí, které se nezobrazují ani přátelům. Prodává buď určitý segment (například podle věku, pohlaví), nebo pokud člověk klikne na reklamu, tak posílá zadavatelům reklamy všechny údaje (telefon, email, jméno, příjmení, adresu, …)

10.  Petr(80.188.234.xxx)   28. 11. 2010, 10:38

trochu odskočím od tématu… Si pamatuji když facebook Češi moc neznali a nebyli tam podobný skupiny: Čs má talent : Jandová “porodcuje” bez spodního prádla (Fotky), Nejvtipnější vystoupení v ČS má Talent - rozesmálo to i Krause a určitě znáte další. :/ Kde je ten starý Facebook

11.  Láďa(62.245.79.xxx)   28. 11. 2010, 11:23

Facebook rozhodně má dost problémů, ale tenhle článek je jenom hromada věcí naházených bez ladu a skladu a hlavně bez znalosti věci. Aplikacím VŽDY bylo nutné potvrdit pro přístup k osobním údajům, UID se nebude šifrovat, ale jednoduše posílat přes POST aby se neobjevilo v referrefu, v URL se NIKDY žádné osobní údaje nepředávaly, co mají společného SSD disky s lámáním HTTPS ví asi jenom autor (nic). Tahat informace o uživateli z HTTP hlaviček? Tam nic není, to je spíš najdete v telefonním seznamu.
Komentáře jako [9] jsou už jenom k smíchu :-)

12.  martin(81.25.16.xxx)   28. 11. 2010, 12:35

Otázky pro každého kdo rád přemýšlí. 1. Proč si myslíte, že Facebook byl postaven z lásky k vám, abyste se mohli zdarma přátelit a komunikovat? 2. Už vám dal někdo cizí něco zadarmo?
A všem odborníkům, kteří si myslí, že vědí jak vše funguje odpovídám.”Vždy se najde někdo, kdo je chytřejší než vy”!
martin pavel

13.  Georgo(78.99.44.xxx)   28. 11. 2010, 13:43

11: Presne tak.
Je zaujímavé, aké fámy dokáže Facebook vyvolať.

Ešte k tomu session hijacku: to je záležitosť, ktorej sa dá v podstate zabrániť tým, že sa daná relácia naviaže na IP adresu. Na vlastných weboch to riešim tak, že požiadavok v rámci session z inej IP adresy automaticky spôsobí odhlásenie. Mať všetko cez SSL (v skutočnosti to už nie je SSL, ale TLS) je síce pekné, ale tu si každý musí zvážiť, aké informácie odosiela. Nutno však dodať, že prihlasovanie na Facebook cez HTTPS beží.

14.  martin(81.25.16.xxx)   28. 11. 2010, 13:47

Pořád se hovoří o zneužití(facebook, skype, e-mnail atd…) nějakou třetí stranou. Je to stejné jako když nás straší s terorismem, nebo s globálním oteplováním. Nic z toho by neexistovalo, kdyby mocní tohoto světa rozhodli jinak. Jejich lži jsou nám neustále opakovány až tomu sami uvěříme. Moc dobře vědí jak funguje lidský mozek. To jsem ale odbočil. Omlouvám se. Facebook byl vpuštěn do sítě jen a jen proto aby hromadil a posléze třídil informace o vás. Proč věříte lidem které jste nikdy neviděli? Věříte jen proto, že vám řeknou někde na webu, že žádná třetí strana vaše data nezneužije? To ale odvádějí pozornost jen od pravých zneuživatelů a těmi jsou mocní tohoto světa.NWO.
Hezkou neděli přeje martin pavel

15.  Georgo(78.99.44.xxx)   28. 11. 2010, 13:47

Mimochodom, ešte jedna perlička k ochrane súkromia:
Nastavenia prístupnosti profilu a obsahu sú jedna vec, avšak nie sú nič platné, keď sa daný obsah pristupuje cez permalink. Tam z nejakého dôvodu Facebook neváha a obsah otvorí.
Pri obrázkoch dokonca stačí URL, pretože mediálny obsah sa ťahá z CDN, a tie z princípu s cookies vôbec nepracujú, takže nemajú ako overiť identitu užívateľa. Aj keby overovali prístup z domény facebook.com podľa referrera, nie je problém postnúť si URL do vlastného profilu a klinúť.

16.  martin(81.25.16.xxx)   28. 11. 2010, 13:54

Gergo jistě máš pravdu, ale pořád hovoríš o zneužití třetí stranou. Položím ti otázku .Říkáš, že to na vlastních webech děláš také tak. Takže víš že je vždy někdo první při tvorbě něčeho.Proč se nezamyslíš nad tím kdo facebook pustil do sítě a za jakým úmyslem?
martin pavel

17.  Georgo(78.99.44.xxx)   28. 11. 2010, 14:27

Ale no tak, snáď aj sem nebudeme ťahať konšpiračné teórie… Facebook je biznis ako každý iný, má svoje ciele a svoje nástroje. Je zároveň dostatočne veľký na to, aby bol na očiach a aby jeho výraznejšie prešľapy vždy spôsobili škandál. Keď na to príde, spústa malých provinčných sociálnych sietí typu libimseti.cz podľa mňa predstavuje väčšie riziko, ako ostatne ukázala prax.

18.  m1c4a1(212.96.183.xxx)   28. 11. 2010, 16:47

Facebook SSL má, viz https://facebook.com
Nicméně je pravda, že se to týká jen samotné hlavní stránky. Bez šifrované varianty nefunguje chat a asi ani ty aplikace (a kdoví, co ještě).

19.  Blog: Bezpečnostnost Facebooku je věc nemožná?(74.220.215.xxx)   28. 11. 2010, 18:21

[...] original post here: Blog: Bezpečnostnost Facebooku je věc nemožná? Posted in [...]

20.  jirka(88.83.178.xxx)   28. 11. 2010, 18:38

U soukromého webu bych to i zkousnul, ale proč v diskuzích požaduje registraci na FB veřejnoprávní ČT24, to opravdu nechápu. To už fakt není úniku??

21.  Sam(217.77.165.xxx)   28. 11. 2010, 23:58

20. Tohle je zajímavá otázka. Myslím že by z toho mohl bejt zajímavej článek. Chtěl bych znát zdůvodnění lidí z ČT, proč když chci využívat služeb české veřejnoprávní televize, proč se musím nejdřív stát zákazníkem soukromé americké společnosti.

22.  gisat_cz(ověřeno)   29. 11. 2010, 03:24

11, 13. Facebook v URL vysílal informace nemáte pravdu není to fáma

23.  Láďa(62.245.75.xxx)   29. 11. 2010, 11:10

[22] Facebook posílá v URL jenom UID a jenom po přihlášení k aplikaci.

24.  ivan(195.47.51.xxx)   29. 11. 2010, 14:48

20. 21.

:) jen tak nahodou jsem se na tohle tema docela nastval a pred 3 mesici psal na ceskou televizi :). Email jsem uz bohuzel smazal ale na otazku proc kdyz chci diskutovat na webu verejnopravni TV se musim registrovat u sluzby FB, ktera nema ani licencni podminky v cj jsem jako odpoved dostal (ve zkratce) - svet jde dopredu a tak i komunikace :D(sem se citil jak lidoop) + spam v diskuzich, protoze na FB se muzete registrovat jen pod realnymi udaji.

tolik k CT

25.  slavek(90.176.194.xxx)   29. 11. 2010, 21:44

preklep v nadpisu

Přidat komentář

*
Opište prosím text z obrázku.
Anti-Spam Image




1210_Computer.png

Časopis Computer

  • Nakupujte v zahraničí
  • Test 7 čteček elektronických knih
  • Technologie: nové standardy digitálního vysílání
  • Přehled cloudových uložišť
  • Poradíme s výběrem kamery na dovolenou

Partnerská sekce pro IT profesionály:
Microsoft TechNet/MSDN







Mladá Fronta a.s. Mladá Fronta a.s.
Copyright 2000–2012 Mladá fronta a.s. | Inzerce: onlinesales@mf.cz | Kontakt na redakci | Návštěvnost měří NetMonitor