Facebook存在链接问题。本周早些时候，一位名叫Inti De Ceukelaire的安全研究员详细介绍了一个关于Facebook Messenger如何处理私人共享链接的奇怪事实。通过正确的API调用，De Ceukelaire能够在私人消息中调用特定用户共享的链接。这些链接是由Facebook爬虫收集的，De Ceukelaire发现，任何运行Facebook应用程序的人都可以轻松访问这些链接。这些链接可以是任何东西，从流行新闻到堕胎诊所的方向。只要它们在私人消息中被共享，它们就被登录到Facebook的数据库中，并且可以被API调用访问。

由于几个不同的原因，很难大规模地利用这个bug。De Ceukelaire之所以能够调用API，是因为他注册为Facebook开发者，如果他开始大规模拉取这些链接，Facebook会很快抓住并拉取他的凭据。尽管如此，这个bug还是指出了web服务处理url的冲突方式以及这些冲突如何将私有信息放到公共视图中的一些遗留问题。

你怎么能共享一个链接而不让它被刮去？

最大的问题是一个简单的法律问题。Facebook已经面临扫描私人信息的指控，导致上个月被认定为非金钱损失的诉讼。在检查了公司的源代码之后，一位专家描述了一个名为Titan的数据库，它显示了通过系统发送的任何私人消息的日期、时间和收件人。Facebook坚称，这些链接做法是完全合法的，许多做法已经停止。

扫描链接的做法不仅仅是Facebook。URL是站点收集数据的常用位置，可以通过中介路由链接，也可以在URL末尾放置一些查询标记。这是一个很好的跟踪人们来自哪里的方法，但是它会引起真正的隐私问题，正如Facebook现在发现的那样。Twitter上个月也遭遇了类似的诉讼，指控直接消息链接中的链接缩短措施构成了对隐私的侵犯。如果bit.ly知道要缩短哪些链接，他们就知道哪些链接正在发送给您。

但是，当一些系统将url用作公共数据点时，其他系统则将其用作密码。如果你正在共享一个Dropbox文件夹或免费登录的Google文档，那么这个URL就像一个地址一样是一个密码，这个系统在Google照片中也扮演着核心角色。在传输过程中收集这些URL是一个真正的安全风险，将潜在的敏感文档暴露给第三方中介机构。当然，Bit.ly不太可能开始大规模收集Google文档，如果它这样做了，会有很多人注意到。但事实上，这是可能的，应该让我们暂停。

这让消费者陷入了一个棘手的境地。当Google给你一个40个字符的私有URL时，你怎么能不让它被刮掉就分享它呢？即使你知道的足够多去寻找一个隐私意识的消息服务，用户应该如何分辨谁在存储URL日志和谁没有？两个系统都是隐形的，它们以不可预知的方式结合在一起。但是用户最终的结果是一个私有系统，它并不像看上去那么私有。

如何伪造指纹闯入**