¿Cuál es la explicación de la “violación” de privacidad que el WSJ encontró esta mañana?

No se trata solo de si los desarrolladores lo sabían o no, se trata del hecho de que fueron descuidados en el manejo de los datos y de dónde se pasaban la cadena de consulta. Cuando acceda a una aplicación en Facebook, accederá al contenido (páginas web, JavaScript, imágenes, Flash, etc.) desde el cómo de la aplicación (el servidor en el que aloja el contenido). En el momento en que el usuario accede a la aplicación, la aplicación tiene el ID de usuario FB del usuario, si no tienen cuidado, podrían pasar esto en la cadena de consulta a su servidor. Hasta ahora todo está bien ya que el usuario dio permiso, sin embargo, si el servidor está devolviendo HTML, y ese HTML contiene etiquetas publicitarias en un sistema de servidor de anuncios (por ejemplo, Adsense), la solicitud de adsense contendrá en el encabezado HTTP la URL de referencia ( la página que hace referencia a la solicitud). Esta URL contenía la ID de usuario de FB; por lo tanto, una tercera parte (o cuarta quinta parte, etc.) recibió la identificación de usuario del usuario y la aplicación que estaban jugando. Si el desarrollador no tiene cuidado, podría ser passign mucho más (nombre, apodos, etc.).

¿Por qué es difícil? Bueno, porque hay dos soluciones al problema:
– no pasar la identificación del usuario al desarrollador de la aplicación (esto matará las aplicaciones esencialmente)
– no permitir que las aplicaciones sirvan contenido de terceros, o de alguna manera poder y datos de tira (esto puede ser muy difícil, pero factible)

El mismo problema ocurrió en 2000-2001, cuando muchos editores pasaban nombres de usuario y otra información en la cadena de consulta. Es muy fácil pasar esto a otros sistemas de terceros, que pueden crear perfiles basados ​​en dichos datos a medida que recopilan información sobre el usuario en múltiples sitios.

Related Content

¿Cómo obtener un trabajo de desarrollador de pila completa de nivel de entrada? ¿He aprendido muchas cosas como HTML, CSS, Javascript, React y un framework de pila completa Ruby on Rails? No uso ninguno de estos en mi trabajo actual. ¿Qué debo hacer para destacar?

¿Es legítimo compartir contenido de terceros en un sitio web?

¿Por qué se compara AngularJS con otros marcos?

¿Cuáles son las técnicas más actualizadas utilizadas para crear sitios web?

¿Cuál es la proporción de sitios web estáticos y dinámicos en el mundo?

Encontré la respuesta en línea: Harlan Yu en Freedom to Tinker explica tanto los detalles técnicos como las posibles soluciones. ¡Gracias a la cuenta de Twitter de WSJ por enviarme el enlace!

http://freedom-to-tinker.com/blo

Farhad Manjoo

Descargo de responsabilidad: no trabajo en FB, ni tengo ningún conocimiento sobre este acuerdo que no sea lo que puede leer en el artículo de WSJ y cualquier otra noticia pública en línea.
Dicho esto, me parece que el WSJ se está poniendo al día con los cambios de 2 semanas en los FB TOS.
Puede ver aquí: http://www.tosback.org/diff.php ? … que se agregó un nuevo párrafo en la sección “Disposiciones especiales aplicables a desarrolladores / operadores de aplicaciones y sitios web”:

7. No venderá los datos del usuario. Si lo adquiere o se fusiona con un tercero, puede continuar utilizando los datos de usuario dentro de su aplicación, pero no puede transferir datos de usuario fuera de su aplicación.

entre otros cambios

Farhad Manjoo

More Interesting

¿Por qué usamos promesa en los métodos de devolución de llamada en Node.js?

¿Qué debo aprender o hacer después de conocer los conceptos básicos de jQuery?

¿Deben los desarrolladores web diseñar conscientemente sus aplicaciones para pruebas automatizadas?

¿Qué hace a un buen desarrollador: una gran habilidad en matemáticas, inteligencia o ambas?

¿Qué proveedor de alojamiento web tiene el mejor servicio al cliente para servidores compartidos?

¿Cuál es la mejor empresa de desarrollo web?

¿Dónde puedo almacenar funciones PHP personalizadas en Joomla y cómo las llamaría?

¿Cómo se elige la API correcta para usar?

¿Cuál es la diferencia entre la aplicación web y el probador de penetración de red? ¿Cuál es el más buscado?

¿Qué debo tener en cuenta durante el desarrollo front-end?

¿Cuáles son las principales reglas que debo seguir para crear un sitio web que sea muy legible en general y agradable de leer en la oscuridad?

¿Es una buena idea construir un motor de raspado web utilizando solo Node.JS y una cola de trabajos respaldada con Redis?

¿Qué debe saber un buen desarrollador web full stack?

Dadas las 2 formas principales de insertar imágenes en HTML, ¿cuáles son las ventajas y desventajas de utilizar cualquiera de estos enfoques?

Veo sitios que usan múltiples bases de datos, como NoSQL y SQL juntos, ¿cómo se hace esto?