爲了增加登錄便捷性,提升用戶黏性,第三方網站或應用使用常用社交賬號登錄的方式早已屢見不鮮,但這也同時意味着部分信息會被共享。儘管人們對此司空見慣,但仍有不少人對共享信息安全性表示擔憂。令人欣慰的是,已有社交巨頭開始注意這一問題。
週一,Facebook宣佈更新bug賞金計劃,此次更新目的是防止令×××通過第三方應用程序的安全漏洞泄露。訪問令×××是用於標識唯一用戶和用戶權限的憑據,並允許用戶使用Facebook登錄另一個應用程序。用戶可以決定令×××和應用程序可以訪問哪些信息以及可以採取的操作。
這個計劃是Facebook在被隱私醜聞籠罩後,希望向用戶展示致力於維護數據安全形象所推出的新措施。它沒有時間限制,任何人都可以參與,並且涵蓋了與可能因網絡安全漏洞泄露用戶信息的應用和網站。Facebook的安全工程經理Dan Gurfinkel表示,“如果令×××暴露,可能會遭到濫用。我們希望研究人員有明確的渠道來報告這些重要問題,儘自己的力量來保護用戶信息,即使錯誤的來源不在我們的直接控制之下。”
計劃對於報告Bug行爲有嚴格規定:參與報告者不得在應用網站或程序上使用SQL注入(代碼注入技術),XSS(跨站點腳本),開放重定向或權限繞過漏洞(例如不安全的直接對象引用漏洞)等超出限定範圍的方式。研究人員不能從Facebook賬戶以外的任何賬戶訪問數據或使用任何訪問令×××。賞金計劃起效範圍爲5萬以上活躍用戶的程序或網站等。
總體來說,賞金計劃的社會反響較爲積極。研究員Edwin Foudi對Facebook最新的賞金努力表示肯定。儘管經常檢查代碼庫和源代碼存儲庫以獲取訪問令×××,但他很少看到漏洞賞金項目會想方設法保護第三方應用程序,並承認依賴於訪問Facebook的應用程序也是Facebook×××界面的一部分。有政策和法律問題專家認爲“這是一個富有洞察力的舉動,Facebook意識到了監管機構(和用戶)將要求平臺對第三方缺乏安全和隱私做法負責。”