为了增加登录便捷性,提升用户黏性,第三方网站或应用使用常用社交账号登录的方式早已屡见不鲜,但这也同时意味着部分信息会被共享。尽管人们对此司空见惯,但仍有不少人对共享信息安全性表示担忧。令人欣慰的是,已有社交巨头开始注意这一问题。
周一,Facebook宣布更新bug赏金计划,此次更新目的是防止令×××通过第三方应用程序的安全漏洞泄露。访问令×××是用于标识唯一用户和用户权限的凭据,并允许用户使用Facebook登录另一个应用程序。用户可以决定令×××和应用程序可以访问哪些信息以及可以采取的操作。
这个计划是Facebook在被隐私丑闻笼罩后,希望向用户展示致力于维护数据安全形象所推出的新措施。它没有时间限制,任何人都可以参与,并且涵盖了与可能因网络安全漏洞泄露用户信息的应用和网站。Facebook的安全工程经理Dan Gurfinkel表示,“如果令×××暴露,可能会遭到滥用。我们希望研究人员有明确的渠道来报告这些重要问题,尽自己的力量来保护用户信息,即使错误的来源不在我们的直接控制之下。”
计划对于报告Bug行为有严格规定:参与报告者不得在应用网站或程序上使用SQL注入(代码注入技术),XSS(跨站点脚本),开放重定向或权限绕过漏洞(例如不安全的直接对象引用漏洞)等超出限定范围的方式。研究人员不能从Facebook账户以外的任何账户访问数据或使用任何访问令×××。赏金计划起效范围为5万以上活跃用户的程序或网站等。
总体来说,赏金计划的社会反响较为积极。研究员Edwin Foudi对Facebook最新的赏金努力表示肯定。尽管经常检查代码库和源代码存储库以获取访问令×××,但他很少看到漏洞赏金项目会想方设法保护第三方应用程序,并承认依赖于访问Facebook的应用程序也是Facebook×××界面的一部分。有政策和法律问题专家认为“这是一个富有洞察力的举动,Facebook意识到了监管机构(和用户)将要求平台对第三方缺乏安全和隐私做法负责。”