В последние недели все больше и больше можно прочитать о проблемах Facebooka, связанных с получением несанкционированного доступа к личным данным. Последняя запись в блоге разработчиков сайта показывает, что они ищут решение проблемы.
Хотя Facebook отрицает, что идентификаторы пользователей были доступны для брокеров, торгующих данными, опубликованная на страницах Wall Street Journal статья говорит совсем другое. Таким образом, сервис Марка Цукерберга объявил, что он будет принимать меры для устранения любых "случайных" утечек информации.
В настоящее время, идентификатор пользователя независимых разработчиков приложений может быть получен путем разбора URL. Facebook хочет сделать процесс для доступа довольно сложным:
Чтобы вместо считываемых до этого времени параметров fb_sig_*, приложение читало только один параметр, называемый запросом (request). Этот параметр был создан следующим образом:
Кодирование данных в формате JSON.
Шифрование пакета JSON AES-256-CBC.
Кодирование зашифрованных данных с использованием base64url, чтобы пакет JSON был безопасен.
Размещение зашифрованной, закодированной информации в конверт с ключом. Конвертом должна быть обыкновенная таблица JSON, содержащая информацию, такую, как описание алгоритма шифрования и ключей.
Кодирование конверта в формат JSON, а потом base64url.
Весь пакет подписан HMAC-SHA256.
Соединить пакет с подписью и готово.
«Хотя проблема непреднамеренно касается несанкционированного доступа к информации на Facebook через заголовки HTTP, это проблема всей сети», - говорится в блоге.
Мы не знаем, является ли лучшим решение шифрование идентификатора. Только время покажет, что принесут эти изменения.
Комментариев нет:
Отправить комментарий