facebook的私人連結有問題

Facebook存在連結問題。本週早些時候，一位名叫Inti De Ceukelaire的安全研究員詳細介紹了一個關於Facebook Messenger如何處理私人共享連結的奇怪事實。透過正確的API呼叫，De Ceukelaire能夠在私人訊息中呼叫特定使用者共享的連結。這些連結是由Facebook爬蟲收集的，De Ceukelaire發現，任何執行Facebook應用程式的人都可以輕鬆訪問這些連結。這些連結可以是任何東西，從流行新聞到墮胎診所的方向。只要它們在私人訊息中被共享，它們就被登入到Facebook的資料庫中，並且可以被API呼叫訪問。

由於幾個不同的原因，很難大規模地利用這個bug。De Ceukelaire之所以能夠呼叫API，是因為他註冊為Facebook開發者，如果他開始大規模拉取這些連結，Facebook會很快抓住並拉取他的憑據。儘管如此，這個bug還是指出了web服務處理url的衝突方式以及這些衝突如何將私有資訊放到公共檢視中的一些遺留問題。

你怎麼能共享一個連結而不讓它被颳去？

最大的問題是一個簡單的法律問題。Facebook已經面臨掃描私人資訊的指控，導致上個月被認定為非金錢損失的訴訟。在檢查了公司的原始碼之後，一位專家描述了一個名為Titan的資料庫，它顯示了透過系統傳送的任何私人訊息的日期、時間和收件人。Facebook堅稱，這些連結做法是完全合法的，許多做法已經停止。

掃描連結的做法不僅僅是Facebook。URL是站點收集資料的常用位置，可以透過中介路由連結，也可以在URL末尾放置一些查詢標記。這是一個很好的跟蹤人們來自哪裡的方法，但是它會引起真正的隱私問題，正如Facebook現在發現的那樣。Twitter上個月也遭遇了類似的訴訟，指控直接訊息連結中的連結縮短措施構成了對隱私的侵犯。如果bit.ly知道要縮短哪些連結，他們就知道哪些連結正在傳送給您。

但是，當一些系統將url用作公共資料點時，其他系統則將其用作密碼。如果你正在共享一個Dropbox資料夾或免費登入的Google文件，那麼這個URL就像一個地址一樣是一個密碼，這個系統在Google照片中也扮演著核心角色。在傳輸過程中收集這些URL是一個真正的安全風險，將潛在的敏感文件暴露給第三方中介機構。當然，Bit.ly不太可能開始大規模收集Google文件，如果它這樣做了，會有很多人註意到。但事實上，這是可能的，應該讓我們暫停。

這讓消費者陷入了一個棘手的境地。當Google給你一個40個字元的私有URL時，你怎麼能不讓它被刮掉就分享它呢？即使你知道的足夠多去尋找一個隱私意識的訊息服務，使用者應該如何分辨誰在儲存URL日誌和誰沒有？兩個系統都是隱形的，它們以不可預知的方式結合在一起。但是使用者最終的結果是一個私有系統，它並不像看上去那麼私有。