sabato 30 ottobre 2010

Proposta crittografica dell'UID di Facebook


Facebook sta cercando su una soluzione tecnica al problema della condivisione del Facebook User ID (UID). Le relazioni iniziali hanno molto esagerato le conseguenze di condivisione di un UID, ma Facebook ha comunque preso sul serio la questione. La politica del social network è già molta chiara perchè l'UID non può essere condiviso con le reti pubblicitarie e broker di dati, ma lo stesso Facebook si rende conto che alcuni sviluppatori hanno inavvertitamente condiviso le informazioni tramite l'intestazione HTTP referer. La proposta affronta la questione tecnica di fondo della condivisione involontaria per applicazioni su Facebook. Si stanno delineando i dettagli della proposta iniziale, al fine di sollecitare il feedback dei loro sviluppatori e dalla comunità più grande del web. L'intento è quello di affrontare rapidamente il problema, riducendo al minimo l'impatto sugli utenti e sviluppatori.

Contesto tecnico.

Quando un browser carica le immagini o altre risorse in una pagina Web, a volte invia un header HTTP che identifica l'URL della pagina Web contenente la risorsa. Per un tipo di domanda scritta sulla Piattaforma Facebook (applicazioni tela iframe-based), dopo che un utente ha autorizzato l'applicazione, l'URL dell'iframe può contenere l'UID dell'utente. Questo UID è incluso, al fine di consentire l'applicazione di costruire un'esperienza personalizzata per l'utente. Negli ultimi giorni, da quando questo problema è stato segnalato, alcuni degli sviluppatori della piattaforma hanno iniziato ad utilizzare tecniche come redirect o "doppio framing" per rimuovere gli UID dall'URL. Mentre le applicazioni sono in grado di affrontare questo problema singolarmente, Facebook ha voluto trovare una soluzione che potrebbe risolvere il problema per tutte le applicazioni sulla piattaforma Facebook.

Crittografia dei parametri.

Per rispondere a questa condivisione involontaria dell'UID, Facebook ha in programma di iniziare la crittografia dei parametri per le applicazioni basate su iframe. Facebook ha inviato i dettagli tecnici della proposta, sul sito dei suoi sviluppatori, tra cui un luogo di discussione e di commenti. La proposta si basa su un parametro denominato richiesta firmata che ispira le discussioni nella comunità OAuth. Facebook inizierà così la cifratura di questo parametro, usando il ricorso, la chiave segreta, in modo che solo l'applicazione sarà in grado di leggere queste informazioni. Questo consentirà di evitare la divulgazione accidentale di informazioni tramite intestazioni HTTP.

Ecco alcuni codici d'esempio:


Il piano del social network è quello di attivare il parametro crittografico come opzione nel corso delle prossime settimane e poi a lavorare con la comunità per aggiungere il supporto per questa opzione per i vari SDK Facebook. Una volta che il progetto sarà ultimato, Facebook lavorerà con i suoi sviluppatori per garantire una rapida transizione verso i parametri cifrati. Anche se questa proposta affronta la condivisione involontaria di informazioni su Facebook, il problema di fondo di condivisione dei dati tramite header HTTP è un problema a livello di web. Facebook è ansioso di lavorare con la comunità Web standard e i produttori di browser nei prossimi mesi per aiutarli ad affrontare questo problema.

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...