Egy tekintélyes amerikai kutató, a biztonságtechnika szakembere tett közzé tegnap egy bejegyzést az MIT (Massachusetts Institute of Technology) honlapján, melyben arról elmélkedik, hogy a Facebook-jelenségnek miféle hatásai lehetnek, különös tekintettel a netes biztonságra.

Simson Garfinkel abból a tapasztalati tényből indul ki, hogy a Facebook mára az internet meghatározó tényezője lett, ezért érdemes azzal foglalkozni, hogy ez az állapot miképp értelmezhető biztonsági szempontból.

A kutató is feleleveníti azt a szakmai közhelyet, hogy ha egy portál nagyon népszerű lesz, sok látogatót vonz, akkor természetszerűleg a hackerek, crackerek kiemelt célpontjává válik. De emellett és ebből következően egy másik nagyon érdekes problémát is felvet: a jelszavak és azonosítók végtelen szaporodása miatt már évek óta téma szakmai körökben, hogy érdemes lenne az egységes, közös azonosítói rendszer létrehozása. Ez azt jelentené felhasználói szempontból, hogy nem kellene sokféle azonosítót használni, hanem az egyszer létrehozott hozzáférés a cégek együttműködési megállapodása folytán belépőként szolgálna más oldalakra is.

A Facebook kapcsán Garfinkel épp ezen gondolkodik el, mivel a közösségi oldal a 2008-ban bevezetett „Facebook Connect” funkciója lehetővé teszi a külső partnerek számára is Facebook-loginok használatát, vagyis a közvetlen bejelentkezést (példaként említi többek között a vezető piackutatót, az Alexát, valamint a világ egyik legnagyobb és leglátogatottab weboldalát, a filmes adatbázist kínáló imdb.com-ot, és utal arra, hogy a lehetőséget idén még több nagy internetes cég is ki fogja használni).

Garfinkel minősítés nélkül igyekszik felhívni a figyelmet egy spontán módon kialakulni látszó „internetes jogosítvány (driver’s licence)” esélyére, gondolatmenetében jelzi azt, hogy az elvről beszél, nem pedig azokról a kétségekről, amik felmerülhetnek (például: jó-e az, hogy egy ilyen „jogsi” egyetlen, ráadásul magáncéghez köthető). A látens módon felbukkanó lehetőséget az is erősíti a kutató szerint, hogy a Facebook felhasználási szabályzata kötelezővé teszi a valódi adatok megadását, emellett a netezők szokásai is egy releváns adatbázis építését segítik (döntő többségük nem kamuzik, a feltöltött információk valósak).

Garfinkel – talán némileg meglepő – véleménye az, hogy az interneten jelenleg a Facebook garantálja a felhasználók számára leginkább a biztonságot, s szerinte ezt mutatja az is, hogy például egy új-zélandi bank november óta felajánlja ügyfelei részére – a Connectet kihasználva – a facebookos bejelentkezést is. A kutató emellett több olyan, a közelmúltban bevezetett lehetőséget is említ, melyek szerinte a Facebook rendszerének kiemelt biztonságosságát mutatják (a bejelentkezések követése, a fiókok használatának ellenőrzése). A banki szolgáltatásokkal összehasonlítva azonban két fontos hiányosságot említ meg: egyrészt azt, hogy az azonosító-jelszó páros egyedül elég a bejelentkezéshez, másrészt pedig azt, hogy a sütiket titkosítatlanul használják. Kitér arra is – a Facebook szóvivőjének nyomán –, hogy kísérleti jelleggel már üzemel egy biztonságos (https://) változat is, de ezt legkorábban csak hónapok múlva lehet értékelni.

Garfinkel álláspontja elég sarkosnak tűnik, de nem földtől elrugaszkodottnak. Habár a szöveget olvasva óhatatlanul eszébe jut az embernek, hogy esetleg nem egy szponzorált elemzésről van-e szó, de a felvetett problémák és lehetőségek valósak. Az egységes jelszó/azonosító kérdése már legalább egy évtizede téma, mint ahogy az is, hogy ha életképes lenne egy ilyen megoldás (a fórumban támadható analógia: mindenkinek csak egy telefonszáma van), akkor azt milyen módon lehetne úgy megoldani, hogy a felhasználó adatainak biztonsága garantálva legyen.