Facebook внедрила шифрование интернет-трафика
МОСКВА, 27 янв - РИА Новости, Игорь Куксов. Пользователи социальной сети Facebook получили возможность включить шифрование всего интернет-трафика между своим компьютером и сайтом Facebook, что уменьшает вероятность перехвата информации злоумышленниками, сообщили разработчики ресурса.
До сих пор защищенное соединение с использованием стандартного протокола HTTPS применялось Facebook лишь в процессе авторизации пользователя для защиты логина и пароля. Возможность шифровать передаваемые данные во время всего сеанса работы позволит заметно усилить систему безопасности. В то же время побочным эффектом от применения протокола HTTPS может стать снижение скорости реакции сайта на действия пользователя, а также проблемы в работе некоторых приложений, предупреждают разработчики.
Шифрование трафика между пользовательским компьютером и интернет-сервером широко применяется для защиты данных от несанкционированного доступа почтовыми сервисами, платежными системами и другими ресурсами. Незашифрованные данные, особенно передаваемые через беспроводные соединения общего доступа, могут быть легко получены посторонними: так, например, продемонстрированный в октябре 2010 года плагин Firesheep для браузера Mozilla Firefox может перехватывать данные пользователей различных социальных сервисов, в том числе и Facebook.
Внедрение функции шифрования трафика для пользователей Facebook будет вводиться постепенно в течение ближайших нескольких недель. Активировать ее пользователи смогут в настройках безопасности аккаунта, однако в будущем разработчики намереваются использовать HTTPS-соединение по умолчанию. Специалисты Facebook рекомендуют задействовать шифрование в случае, если доступ к сервису часто осуществляется посредством каналов общего доступа в публичных местах.
Еще одним нововведением в систему безопасности Facebook стала "социальная аутентификация", которую предполагается использовать вместо применяемой многими сервисами широко известной технологии CAPTCHA (используется, чтобы отсеивать реальных пользователей от компьютерных программ-ботов, и обычно заключается в распознавании набора искаженных символов). Технология CAPTCHA может отсеять компьютерные программы, но не в силах противодействовать людям. Механизм "социальной аутентификации", тестирование которого начала Facebook, в случае, если имеется подозрение в компрометации учетной записи, предложит пользователю определить, кто из его "друзей" изображен на приведенных системой фотографиях. "Хакеры на другом конце Земли могут знать ваш пароль, но не ваших друзей", - пишет в блоге инженер по информационной безопасности Facebook Алекс Райс (Alex Rice).
Эксперты по безопасности указывают на возможные недостатки нововведения. Например, "социальная аутентификация" может создать проблемы для людей, имеющих множество "друзей" в соцсети. Многие пользователи Facebook добавляют в "друзья" малознакомых, а зачастую и вовсе незнакомых им людей (основываясь, например, на общности интересов) - если список таких "друзей" достаточно велик, то прохождение процедуры "социальной аутентификации" может оказаться непростой задачей. К тому же личность изображенного на фотографии человека может быть определена злоумышленниками с помощью общедоступных источников - система аутентификации предлагает на выбор несколько имен друзей пользователя.
До сих пор защищенное соединение с использованием стандартного протокола HTTPS применялось Facebook лишь в процессе авторизации пользователя для защиты логина и пароля. Возможность шифровать передаваемые данные во время всего сеанса работы позволит заметно усилить систему безопасности. В то же время побочным эффектом от применения протокола HTTPS может стать снижение скорости реакции сайта на действия пользователя, а также проблемы в работе некоторых приложений, предупреждают разработчики.
Шифрование трафика между пользовательским компьютером и интернет-сервером широко применяется для защиты данных от несанкционированного доступа почтовыми сервисами, платежными системами и другими ресурсами. Незашифрованные данные, особенно передаваемые через беспроводные соединения общего доступа, могут быть легко получены посторонними: так, например, продемонстрированный в октябре 2010 года плагин Firesheep для браузера Mozilla Firefox может перехватывать данные пользователей различных социальных сервисов, в том числе и Facebook.
Внедрение функции шифрования трафика для пользователей Facebook будет вводиться постепенно в течение ближайших нескольких недель. Активировать ее пользователи смогут в настройках безопасности аккаунта, однако в будущем разработчики намереваются использовать HTTPS-соединение по умолчанию. Специалисты Facebook рекомендуют задействовать шифрование в случае, если доступ к сервису часто осуществляется посредством каналов общего доступа в публичных местах.
Еще одним нововведением в систему безопасности Facebook стала "социальная аутентификация", которую предполагается использовать вместо применяемой многими сервисами широко известной технологии CAPTCHA (используется, чтобы отсеивать реальных пользователей от компьютерных программ-ботов, и обычно заключается в распознавании набора искаженных символов). Технология CAPTCHA может отсеять компьютерные программы, но не в силах противодействовать людям. Механизм "социальной аутентификации", тестирование которого начала Facebook, в случае, если имеется подозрение в компрометации учетной записи, предложит пользователю определить, кто из его "друзей" изображен на приведенных системой фотографиях. "Хакеры на другом конце Земли могут знать ваш пароль, но не ваших друзей", - пишет в блоге инженер по информационной безопасности Facebook Алекс Райс (Alex Rice).
Эксперты по безопасности указывают на возможные недостатки нововведения. Например, "социальная аутентификация" может создать проблемы для людей, имеющих множество "друзей" в соцсети. Многие пользователи Facebook добавляют в "друзья" малознакомых, а зачастую и вовсе незнакомых им людей (основываясь, например, на общности интересов) - если список таких "друзей" достаточно велик, то прохождение процедуры "социальной аутентификации" может оказаться непростой задачей. К тому же личность изображенного на фотографии человека может быть определена злоумышленниками с помощью общедоступных источников - система аутентификации предлагает на выбор несколько имен друзей пользователя.
Сервис Facebook часто подвергается критике за уязвимость персональных данных пользователей перед несанкционированным доступом. В январе компания из-за негативной реакции пользователей и специалистов приостановила действие механизма, позволяющего с разрешения пользователей экспортировать их адреса и номера телефонов приложениям и сторонним сайтам. А во вторник, вследствие программной уязвимости, неизвестный хакер опубликовал на личной странице главы Facebook Марка Цукерберга поддельное сообщение об изменении модели финансирования социальной сети.