Jeg bruger ikke Facebook, men for nylig oprettede jeg en konto med det formål at forbinde den til en app. Jeg uploadede flere billeder af mig selv til Facebook, gjorde hvad jeg havde brug for med appen og slettede billederne.
Den næste dag forsøgte jeg at logge ind på min Facebook-konto og så dette:
Hvordan kan Facebook bruge mit foto til at kontrollere, om kontoen tilhører mig? De burde nu ikke have nogen af mine fotos, ikke? Betyder dette, at de faktisk beholder slettet indhold?
Kommentarer
- Føjede du nogen venner til Facebook-kontoen? Måske mærkede de dig på et af deres fotos.
- De kunne have hentet oplysninger om dine fotos (race, hårfarve, briller, alder, køn osv.). Måske er det ‘, hvad de kontrollerer. Du kan prøve at uploade et billede af en helt anden og se, om det tager det.
- Facebook laver ansigtsgenkendelse og masser af kunstig intelligensdrevet analyse af brugerindhold. Jeg tror (antagelse) Facebook-algoritmer udledte, at personen på de mange uploadede fotos skulle være ejer af kontoen. Som en eller anden måde at forhindre folk i at udgive sig for at være andre på Facebook (dette er et regelmæssigt problem for dem), indførte de denne verifikation: hvis du faktisk er personen på billederne, skal du være i stand til at tage en ny af dig selv . De passer let til ansigtet. Igen er dette bare en komplet antagelse fra mig selv, ikke et svar bakket op af kilde
- Det kan meget vel være at bede dig om at give dem et billede specifikt fordi det ikke har noget.
- @ Greendrake Nå, det er ‘ ikke som om Facebook ikke er ‘ t allerede kendt for at lyve …
Svar
2. Kerckhoffs princip
Dette princip blev udtænkt af en kryptograf for kryptografifelt, men gælder for enhver sikringsproces:
"It should not require secrecy, and it should not be a problem if it falls into enemy hands"
Jeg er ikke i stand til at revidere eller bevise en proces, der holdes hemmelig. Derfor er der ingen god grund til at holde en sikringsproces hemmelig. De eneste 2 grunde til, at jeg forestiller mig at holde en hemmelig beskyttelsesproces, som jeg ville have opfattet, er:
- min proces er svag, og hvis min fjende læser den, vil han være i stand til at bryde den, >
- Jeg stoler ikke på min processtyrke og foretrækker at undgå risikoen for sag 1.
I begge tilfælde skal jeg erkende, at min proces er risikabel, ikke revideret, ikke prooven. Min hemmelighed er bare en løgn, en løgn for mig og en løgn for mine brugere.
Personlig analyse
Facebook skriver:
"We use this photo to help us to check that this account belongs to you"
Sandheden er, at hvis de ikke har bevis, er dette billede taget af dig som en fysisk person, kan de ikke bevise, at dette billede er et autentisk billede af dig. De har en forhold mellem:
- et foto: P ,
- et afsendende telefonnummer eller en afsendende computers IP-adresse: N ,
- et kontonavn: A .
Ikke nogen relation til den fysiske person (den fysiske person kan f.eks. tage et godt billede af sin nabo eller hans datter).
R1 : Facebook kan ikke bevise, at et billede er et autentisk billede af en fysisk person.
Hvad kunne de kontrollere? De kunne kontrollere, at foto P ikke findes i nogen:
- database med fotos signaleret som brugt i identitetstyveri og rapporteret til Facebook, ville denne søgning tage minutter,
- database med fotos, der blev brugt til at “identificere” andre Facebook-konti, denne søgning ville tage timer.
Alt i alt kunne de hurtigt opdage ethvert forsøg på identitetstyveri “fra dig”, hvis og kun hvis de tidligere registrerede fotos var autentiske, hvilket de desværre ikke kan bevæge sig (ingen kan demonstrere, at de har nogen robust proces at prøve fotoets ægthed se R1 ).
Personlig konklusion
Jeg kan ” ikke stole på denne proces for ovenstående argumenter og manglen på klar kommunikation fra Facebook. Hvis der er nogen fejl i mine argumenter, kan nogen se det og signalere det offentligt. Denne konklusion er ikke baseret på noget godt eller dårligt ry Facebook måtte have i sikkerhedsfeltet.
Kommentarer
- Jeg don ‘ ikke se, hvordan dette besvarer spørgsmålet på nogen måde. Det virker mere som en personlig ulykke om Facebook ‘ s fotobekræftelsesproces.
- @TomK. det originale spørgsmål: ” Hvordan kan …”, og jeg demonstrerede ” De kan ikke. “. Hvis du ser nogen fejl i mit svar, så skriv det, jeg ‘ Jeg prøver enten at forbedre det eller undertrykke det.
- Måske skulle du læse spørgsmålet igen .
Svar
Facebook behøver ikke at gemme de slettede fotos. Alt hvad de skal gøre er at bruge de fotos, du har uploadet, til at udtrække de biometriske detaljer for at kunne genkende dit ansigt. Disse data er, hvad de bruger til at bekræfte nye fotos.
Dette er alt beskrevet i deres privatlivs- og sikkerhedsindstillinger. Du kan slå funktionen fra for at indsamle biometriske data i ansigtet.
Kommentarer
- Processen ser ud til at være manuel: Jeg sendte et foto til det form, og det sagde, at de vil vende tilbage til mig, når den er gennemgået. Mere end 1 time nu, stadig ikke noget svar. Hvis det, du siger, er sandt, hvorfor skal de derefter verificere manuelt, hvis biodata kan udvindes igen og sammenlignes automatisk?
- Jeg har ingen idé om, hvad de ville sammenligne dem med. Men for at besvare de spørgsmål, du stillede, 1) kunne de bruge de nye fotos til at sammenligne med lagrede biometriske data, 2) de behøver ikke at holde fast i dine fotos for at gøre denne sammenligning, 3) de behøver ikke at holde fast i slettet indhold, hvis de gemmer de biometriske data. Hvis dit spørgsmål virkelig var, hvad skal de sammenligne login CAPTCHA-billedet med, så bliver du nødt til at ændre dit spørgsmål.
Svar
For at afgøre, om kontoen er autentisk, ser Facebook på om billedet er unikt. -Wired
De skal du bare se om billedet er i systemet for at beslutte, om du vil undersøge dig nærmere. Hvis du uploader et foto, der bruges af en anden bruger, prøver du muligvis at oprette en falsk konto. Facebook forsøger også at bestemme placeringen, hvor billedet blev taget, og hvilken anden information AI kunne samle. Alt hvad der kan gøres uden forudgående fotos eller andre data fra dig.
Hvad enten de har dine fotos, siger Facebook, at de vil slette dem inden for 90 dage, hvis du sletter dem.
Facebook sagde, at billederne blev hashet og derefter slettet fra sine servere.
Hvis du beslutter at uploade dit foto til testen, bliver det hashet, men det faktiske foto slettes.
Processen er automatiseret, herunder identifikation af mistænkelig aktivitet og kontrol af billedet.
Du syntes at tro, at processen ikke blev automatiseret i en kommentar, men Facebook siger, at den er.
Kommentarer
- Hvor troværdig vises påstanden om, at processen er automatiseret, hvis den stadig foregår timer efter start? Spørgsmålet er ikke, hvad Facebook siger. Spørgsmålet er, hvad det gør .
- @Greendrake Hanlon ‘ s barbermaskine : deres system styrtede ned eller er overbelastet. Hvis jeg skulle designe et sådant system, ville jeg ‘ bruge en fuzzy hash, som har potentialet til at have falske positive. Hvis det matchede, ville det kræve menneskelig gennemgang.
- @ Greendrake Ingen af os er der på det tidspunkt, det sker, men jeg tvivler på, at de ville overbevise alle på Facebook om at lyve om det. Det er svært at få titusinder af mennesker til at lyve på samme måde.
- @Greendrake I ‘ Jeg er sikker på, at en stor del af den tid, det tager, er baseret på antallet af anmodninger, de behandler. Der er over en milliard mennesker på Facebook.
- Overbeviser titusinder om at lyve: 1) kun en lille procentdel af dem ville faktisk kende sandheden om, hvordan processen fungerer (resten ville ikke ‘ behøver ikke at vide); 2) en NDA ville være ret overbevisende for dem, der kender.
Svar
Beklager, jeg har ingen tinfolie hat til dig i dag.
System 1 gemmer dine fotos og efterlader et afkrydsningsfelt “Konto er klar til ansigtsbekræftelse”.
System 2 markerer afkrydsningsfeltet og sætter din konto på en intern liste over konti, der skal verificeres.
Du sletter dine fotos og system 1 fjerner afkrydsningsfeltet “Konto er klar til ansigtsbekræftelse”.
System 2 markerer ikke afkrydsningsfeltet “Konto er klar til ansigtsbekræftelse “igen inden dit næste login, fordi sagen om, at en konto kun har få fotos, der kan verificeres og slettes kort efter, er en sjælden sag, og nu hænger processen.
Med andre ord :
Beregningen af biometriske funktioner udføres kun, når det er nødvendigt – læs: først da, når verificeringsprocessen udløses.Der er ikke flere fotos at udtrække dataene fra, og nu kan verificeringsprocessen ikke “gå videre.
Kommentarer
- Siger du, at det ville have bedt om at uploade ansigtsfoto, selvom jeg ikke slettede de billeder, jeg oprindeligt uploadede?
- Yup, fordi din opførsel af konto er ret bot-lignende
- Okay, det lyder som en god teori. Noget overbevisende om, at det er, hvordan tingene faktisk er?
- Desværre ikke, du ‘ d må sandsynligvis indsende en fejlrapport / tweet dette til @Facebook og få en bekræftelse.;) Jeg ved ikke ‘ ikke, hvad infrastrukturen eller verifikationsstrømmen på Facebook ser ud ligesom. Og kernen er, ingen her gør det, medmindre nogen her er en dev på Facebook. I sidste ende kan vi kun tage vores bedste teori, og min teori tager fejlkode / flow som basis, og det er sandsynligvis den mest almindelige grund til underlig opførsel i systemer.
- Den verific ationsprocessen er nu afsluttet og resulteret i, at min konto deaktiveres. Alligevel tillader det mig at downloade alle mine data (don ‘ t ved endnu ikke, hvad ‘ er derinde – burde ikke være noget). Men hvad dette betyder er, at teorien er forkert: processen gik fremad og tilsyneladende manuelt, da den resulterede i deaktivering af kontoen.
Svar
Jeg synes ikke svaret ovenfor er nyttigt, idet de ikke ville have dataene at gå fra, hvis han i alle tilfælde slettede billederne, selvom de gør i nogle.
Den korrekte måde at se, hvilke data de har fra din konto, er at gå Indstillinger> Dine Facebook-oplysninger Derfra kan du se, hvilke fotos du har sendt, og hvilke fotos du er tagget i. Det lader også du downloader dine oplysninger, så du kan se nøjagtigt, hvad der er.
Det fortæller dig, hvad de har, for så vidt angår at beholde gamle oplysninger, har Facebook sagt, at det kan tage op til 90 dage at slette dataene permanent. Det betyder, at de også vil slippe af med målinger opnået ved en AI-fotoscanning. https://www.nbcnews.com/card/facebook-does-delete-your-data-n864816
Facebook kan muligvis stadig have et billede af dig i op til 90 dage, men den besked er automatiseret og vil stadig dukke op, selvom de ikke længere har billeder af dig. Det betragtes som en form for CAPTCHA, da det ville være svært for en bot at replikere fotos, der ikke er offentligt tilgængelige, så selvom Facebook ikke har dine fotos gemt, kan webstedet gennemsøge de fotos, de har, for at se om du er indsendelse af et foto, der allerede findes på webstedet og derfor kan være en bot, der bruger andre menneskers fotos. Det kan vise, at du sandsynligvis ikke er en bot, selvom det ikke kan genkende dig som dig. https://www.telegraph.co.uk/technology/2017/11/29/facebook-asking-users-upload-selfie-prove/
Kommentarer
- … og hvis den biometriske data blev ekstraheret, da fotos blev uploadet? Derefter behøver de ikke fotos i lager.
- Det er sandt op til 90 dage, som artiklen sagde, men Facebook bruger billederne som en CAPTCHA, selvom den ikke ‘ t har de boimetriske data, så forklaringen ikke dækker enhver mulighed.
- Så den første linje i dit svar er nu forkert? Fordi de stadig har billederne i 90 dage, selvom han slettede dem? ‘ Jeg har virkelig problemer med at følge din logik.
- Jeg sagde, at de ikke ville have dataene i ALLE tilfælde. Nogle gange vil det sidde på serveren et stykke tid, men ikke altid. Det betyder, at antydningen af det i dit svar ikke altid kan være sandt.
- Forslag til hvad? Hvad tror du, jeg sagde?