Facebook

Tak Facebook robić nie powinien. Wcale nie z powodu prywatności

Jakub Szczęsny
Tak Facebook robić nie powinien. Wcale nie z powodu prywatności
5

Jeżeli gdzieś w sieci mignęła Wam już informacja, że Facebook prosi nowych użytkowników o wpisanie hasła do kont e-mail, to możemy Wam potwierdzić, że jest to prawda. Intencja stojąca za tym wymogiem jest jednak zupełnie różna od podnoszonych przy tej okazji tez. To wcale nie jest tak, że Facebookowi poprzestawiało się w głowie i żąda dostępu do naszych skrzynek. Powód jest zupełnie inny, ale i tak nie powinien robić w ten sposób.

Jak wynika z doniesień w mediach, użytkownicy Facebooka rejestrujący się na nim po raz pierwszy są zmuszeni podać hasło do skrzynki e-mail. I rzeczywiście, to prawda, pojawiają się takie komunikaty, ale nie w każdym przypadku. Przede wszystkim, tego typu monit otrzymamy głównie wtedy, gdy Facebook uzna, że nasza próba zarejestrowania się jest w jakikolwiek sposób "podejrzana", na przykład ze względu na ryzyko wprowadzenia do usługi trolli lub botów. Dla przykładu, jeżeli będziemy próbowali rejestrować się z tymczasowego maila, możemy spodziewać się, że Facebook uzna nas za "podejrzanych".

Facebook zapytany o sprawę potwierdził, że mechanizm weryfikacji adresów e-mail może prosić o takie dane jak hasła do kont e-mail w momencie, gdy uzna że próba zarejestrowania się jest "podejrzana". Dotyczy to m. in. kont e-mail nie wspierający OAuth oraz rejestracji z lokalizacji, które mogą wiązać się z podwyższonym ryzykiem działalności botów czy farm trolli. To motywacja dobra, ale działanie zmierzające do zminimalizowania tego zjawiska jest złe.

Jak wynika z doniesień w mediach, użytkownicy Facebooka rejestrujący się na nim po raz pierwszy są zmuszeni podać hasło do skrzynki e-mail. I rzeczywiście, to prawda, pojawiają się takie komunikaty, ale nie w każdym przypadku. Przede wszystkim, tego typu monit otrzymamy głównie wtedy, gdy Facebook uzna, że nasza próba zarejestrowania się jest w jakikolwiek sposób "podejrzana", na przykład ze względu na ryzyko wprowadzenia do usługi trolli lub botów. Dla przykładu, jeżeli będziemy próbowali rejestrować się z tymczasowego maila, możemy spodziewać się, że Facebook uzna nas za "podejrzanych".

Facebook zapytany o sprawę potwierdził, że mechanizm weryfikacji adresów e-mail może prosić o takie dane jak hasła do kont e-mail w momencie, gdy uzna że próba zarejestrowania się jest "podejrzana". Dotyczy to m. in. kont e-mail nie wspierający OAuth oraz rejestracji z lokalizacji, które mogą wiązać się z podwyższonym ryzykiem działalności botów czy farm trolli. To motywacja dobra, ale działanie zmierzające do zminimalizowania tego zjawiska jest złe.

Nigdy nie podawaj hasła e-mail do konta

To podstawowa zasada i należy się jej trzymać - nawet w sytuacji, gdy sam Facebook deklaruje, że wpisane w ramach jego własnej infrastruktury ciągi autoryzacyjne nie są nigdzie przechowywane. Problem z żądaniem Facebooka jest taki, że trudno odróżnić je od np. phishingu: użytkownik może albo uznać, że ma do czynienia z oszustwem i na tym zakończy proces rejestracji (co prawda możliwe jest potwierdzenie tożsamości za pomocą linku aktywacyjnego / SMS-a na telefon ale jest to opcja dobrze ukryta na tym ekranie), albo uodporni go na próby oszukania go.

Stąd też Facebook w wypowiedziach dla mediów przyznał, że z powodu kontrowersji, które narastają wokół mechanizmu weryfikacyjnego postanowił porzucić tę metodę odsiewu podejrzanych rejestracji. Szkoda tylko, że robi to po interwencji samych użytkowników oraz mediów, które zainteresowały się sprawą. Tego typu żądania nie powinny pojawić się nigdy i taki gigant jak Facebook nie powinien robić niczego, co kłóci się z podstawowymi zasadami dotyczącymi szeroko pojętej prywatności w internecie. Gdyby mnie poproszono o to, bym podał hasło do konta e-mail z którego korzystam na Facebooku, byłbym już nie tylko zbulwersowany co po prostu zszokowany - starania ekspertów ds. cyberbezpieczeństwa, dziennikarzy, entuzjastów nowych technologii w obliczu takich metod wydają się być śmiesznym żartem. A trzeba przyznać, że to właśnie te grupy odpowiadają za rozprzestrzenianie dobrych praktyk w kontekście bezpiecznej obsługi usług w internecie.

Nigdy nie podawaj hasła e-mail do konta

To podstawowa zasada i należy się jej trzymać - nawet w sytuacji, gdy sam Facebook deklaruje, że wpisane w ramach jego własnej infrastruktury ciągi autoryzacyjne nie są nigdzie przechowywane. Problem z żądaniem Facebooka jest taki, że trudno odróżnić je od np. phishingu: użytkownik może albo uznać, że ma do czynienia z oszustwem i na tym zakończy proces rejestracji (co prawda możliwe jest potwierdzenie tożsamości za pomocą linku aktywacyjnego / SMS-a na telefon ale jest to opcja dobrze ukryta na tym ekranie), albo uodporni go na próby oszukania go.

Stąd też Facebook w wypowiedziach dla mediów przyznał, że z powodu kontrowersji, które narastają wokół mechanizmu weryfikacyjnego postanowił porzucić tę metodę odsiewu podejrzanych rejestracji. Szkoda tylko, że robi to po interwencji samych użytkowników oraz mediów, które zainteresowały się sprawą. Tego typu żądania nie powinny pojawić się nigdy i taki gigant jak Facebook nie powinien robić niczego, co kłóci się z podstawowymi zasadami dotyczącymi szeroko pojętej prywatności w internecie. Gdyby mnie poproszono o to, bym podał hasło do konta e-mail z którego korzystam na Facebooku, byłbym już nie tylko zbulwersowany co po prostu zszokowany - starania ekspertów ds. cyberbezpieczeństwa, dziennikarzy, entuzjastów nowych technologii w obliczu takich metod wydają się być śmiesznym żartem. A trzeba przyznać, że to właśnie te grupy odpowiadają za rozprzestrzenianie dobrych praktyk w kontekście bezpiecznej obsługi usług w internecie.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu