Jeg bruker ikke Facebook, men nylig opprettet jeg en konto for å koble den til en app. Jeg lastet opp flere bilder av meg selv til Facebook, gjorde det jeg trengte med appen og slettet bildene.
Dagen etter prøvde jeg å logge inn på Facebook-kontoen min og så dette:
Hvordan kan Facebook bruke bildet mitt til å sjekke om kontoen tilhører meg? De burde ikke ha noen av bildene mine, ikke sant? Betyr dette at de faktisk beholder slettet innhold?
Kommentarer
- Har du lagt til noen venner på Facebook-kontoen? Kanskje de merket deg på et av bildene deres.
- De kunne ha hentet ut informasjon om bildene dine (rase, hårfarge, briller, alder, kjønn osv.). Kanskje det er ‘ det de sjekker. Du kan prøve å laste opp et bilde av noen helt andre og se om det tar det.
- Facebook gjør ansiktsgjenkjenning og mye kunstig intelligensdrevet analyse av brukerinnhold. Jeg tror (antagelse) Facebook-algoritmer utledet at personen på de mange bildene som ble lastet opp, skulle være eier av kontoen. Som en måte å forhindre folk i å utgi seg for å være andre på Facebook (dette er et vanlig problem for dem), satte de på plass denne bekreftelsen: hvis du faktisk er personen på bildene, bør du kunne ta en ny av deg selv . De vil lett matche ansiktet. Igjen, dette er bare fullstendig antagelse fra meg selv, ikke et svar støttet av kilden
- Det kan veldig godt være at du ber deg gi dem et bilde spesifikt fordi det ikke har noe.
- @ Greendrake Vel, det er ‘ ikke som om Facebook ikke er ‘ t allerede kjent for å lyve …
Svar
2. Kerckhoffs prinsipp
Dette prinsippet ble oppfattet av en kryptograf for kryptografifelt, men gjelder enhver sikringsprosess:
"It should not require secrecy, and it should not be a problem if it falls into enemy hands"
Jeg er ikke i stand til å revidere eller prøve en prosess som holdes hemmelig. Derfor er det ingen god grunn til å holde en sikringsprosess hemmelig. De eneste to grunnene til at jeg kan hemmeligholde en sikringsprosess jeg ville ha oppfattet, er:
- prosessen min er svak, og hvis fienden min leser den, vil han kunne bryte den,
- Jeg stoler ikke på prosessstyrken min og foretrekker å unngå risikoen for sak en.
I begge tilfeller bør jeg erkjenne at prosessen min er risikabel, ikke revidert, ikke hemmeligheten min er bare en løgn, en løgn for meg og en løgn for brukerne mine.
Personlig analyse
Facebook skriver:
"We use this photo to help us to check that this account belongs to you"
Sannheten er at hvis de ikke har bevis, er dette bildet tatt av deg som en fysisk person, kan de ikke bevise at dette bildet er et autentisk bilde av deg. De har en forhold satt mellom:
- et bilde: P ,
- et sendende telefonnummer eller en avsendende datamaskins IP-adresse: N ,
- et kontonavn: A .
Ikke noe forhold til den fysiske personen (den fysiske personen kan for eksempel ta et fint bilde av naboen eller datteren).
R1 : Facebook kan ikke bevise at et bilde er et autentisk bilde av en fysisk person.
Hva kunne de sjekke? De kunne sjekke at bildet P ikke er i noe:
- database med bilder signalisert som brukt i identitetstyveri og rapportert til Facebook, vil dette søket ta minutter,
- database med bilder som brukes til å «identifisere» andre Facebook-kontoer, dette søket vil ta timer.
Alt i alt kunne de raskt oppdage ethvert forsøk på identitetstyveri «fra deg», hvis og bare hvis de tidligere registrerte bildene var autentiske, som de dessverre ikke kan bevise (ingen kan demonstrere at de har noen robust prosess å prøve ektheten av bildet, se R1 ).
Personlig konklusjon
Jeg kan » t stol på denne prosessen for argumentene ovenfor og mangelen på tydelig kommunikasjon fra Facebook. Hvis det er noen feil i argumentene mine, vil noen kunne se det og signalisere det offentlig. Denne konklusjonen er ikke basert på noe godt eller dårlig rykte Facebook kan ha i sikkerhetsfeltet.
Kommentarer
- Jeg don ‘ t se hvordan dette besvarer spørsmålet på noen måte. Det virker mer som et personlig angrep om Facebook ‘ s prosess for bildebekreftelse.
- @TomK. det originale spørsmålet: » Hvordan kan …», og jeg demonstrerte » De kan ikke. «. Hvis du ser noen feil i svaret mitt, kan du skrive det, jeg ‘ Jeg prøver å forbedre det eller undertrykke det.
- Kanskje du bør lese spørsmålet igjen .
Svar
Facebook trenger ikke lagre de slettede bildene. Alt de trenger å gjøre er å bruke bildene du lastet opp for å trekke ut de biometriske detaljene for å kunne gjenkjenne ansiktet ditt. Disse dataene er det de bruker for å bekrefte nye bilder.
Dette er beskrevet i personvern- og sikkerhetsinnstillingene. Du kan slå av funksjonen for å samle inn biometriske data i ansiktet.
Kommentarer
- Vel, prosessen ser ut til å være manuell: Jeg sendte et bilde til det skjemaet og det sto at de vil komme tilbake til meg når det er gjennomgått. Mer enn 1 time nå, fortsatt ikke noe svar. Hvis det du sier stemmer, hvorfor skulle de gjøre bekreftelse manuelt hvis biodata kan hentes ut igjen og sammenlignes automatisk?
- Jeg aner ikke hva de vil sammenligne det med. Men for å svare på spørsmålene du stilte, 1) de kunne bruke de nye bildene til å sammenligne med lagrede biometriske data, 2) de trenger ikke å holde på bildene dine for å gjøre denne sammenligningen, 3) de trenger ikke å holde på slettet innhold hvis de lagrer de biometriske dataene. Hvis spørsmålet ditt virkelig var, hva skal de sammenligne innloggings CAPTCHA-bildet med, så må du endre spørsmålet ditt.
Svar
For å avgjøre om kontoen er autentisk, ser Facebook på om bildet er unikt. -Wired
De trenger bare å se om bildet er i systemet for å avgjøre om du vil undersøke deg nærmere. Hvis du laster opp et bilde som brukes av en annen bruker, kan du prøve å opprette en falsk konto. Facebook prøver også å bestemme stedet der bildet ble tatt og hvilken annen informasjon AI kunne samle inn. Alt som kan gjøres uten noen tidligere bilder eller andre data fra deg.
Når det gjelder om de har bildene dine, sier Facebook at de vil slette dem innen 90 dager hvis du sletter dem.
Facebook sa at bildene blir hash og deretter slettet fra serverne.
Hvis du bestemmer deg for å laste opp bildet ditt til testen, blir det hash, men det faktiske bildet blir slettet.
Prosessen er automatisert, inkludert å identifisere mistenkelig aktivitet og sjekke bildet.
Du syntes å tro at prosessen ikke ble automatisert i en kommentar, men Facebook sier at den er det.
Kommentarer
- Hvor troverdig vises påstanden om at prosessen er automatisert hvis den fremdeles pågår timer etter start? Spørsmålet er ikke hva Facebook sier. Spørsmålet er hva det gjør .
- @Greendrake Hanlon ‘ barberhøvel : systemet deres krasjet eller er overbelastet. Hvis jeg skulle utforme et slikt system, brukte jeg ‘ en uklar hash som har potensial til å ha falske positive. Hvis det stemte overens, ville det kreve menneskelig gjennomgang.
- @ Greendrake Ingen av oss er der på det tidspunktet det skjer, men jeg tviler på at de ville overbevise alle på Facebook om å lyve om det. Det er vanskelig å få titusenvis av mennesker til å lyve på samme måte.
- @Greendrake I ‘ Jeg er sikker på at en stor del av tiden det tar er basert på antall forespørsler de behandler. Det er over en milliard mennesker på Facebook.
- Overbeviser titusenvis om å lyve: 1) Bare en liten prosentandel av dem ville faktisk vite sannheten om hvordan prosessen fungerer (resten ville ikke ‘ t trenger å vite); 2) en NDA ville være ganske overbevisende for de som vet.
Svar
Beklager, jeg har ingen tinfolie hatt for deg i dag.
System 1 lagrer bildene dine og legger igjen en avkrysningsrute «Kontoen er klar for ansiktsbekreftelse».
System 2 merker av i boksen og legger kontoen din på en intern liste over kontoer som må bekreftes.
Du sletter bilder og system 1 fjerner merket for «Konto er klar for ansiktsbekreftelse».
System 2 merker ikke av for «Konto er klar for ansiktsbekreftelse «igjen før neste pålogging, fordi saken at en konto bare har få bilder som kan verifiseres og sletter dem kort tid etter, er et sjeldent tilfelle og nå henger prosessen.
Med andre ord :
Beregningen for biometriske funksjoner gjøres bare når det er nødvendig – les: bare da når bekreftelsesprosessen er utløst.Det er ikke flere bilder å hente ut dataene fra, og nå kan bekreftelsesprosessen ikke gå videre.
Kommentarer
- Sier du at det ville ha bedt om å laste opp ansiktsfoto selv om jeg ikke slettet bildene jeg lastet opp i utgangspunktet?
- Yup, fordi oppførselen til kontoen din er ganske bot-lignende
- Ok, dette høres ut som en fin teori. Er det noe overbevisende at det er hvordan ting faktisk er?
- Dessverre ikke, du ‘ d må sannsynligvis sende inn en feilrapport / tweet dette til @Facebook og få en bekreftelse.;) Jeg vet ikke ‘ ikke hva infrastrukturen eller bekreftelsesflyten på Facebook ser ut som. Og kjernen er at ingen her gjør det, med mindre noen her er en dev på Facebook. Til slutt kan vi bare ta vår beste teori, og teorien min tar feil kode / flyt som grunnlag, og det er sannsynligvis den vanligste grunn til merkelig oppførsel i systemer.
- Den verifiske prosessen er nå avsluttet og resulterte i at kontoen min ble deaktivert. Likevel lar det meg laste ned alle dataene mine (ikke ‘ t ennå vet hva ‘ der inne – burde være ingenting). Men hva dette betyr er at teorien er feil: prosessen gikk fremover, og tilsynelatende manuelt fordi den førte til at kontoen ble deaktivert.
Svar
Jeg tror ikke svaret ovenfor er nyttig, fordi de ikke ville ha dataene å gå fra hvis han i alle tilfeller slettet bildene, selv om de gjør det i noen tilfeller.
Den riktige måten å se hvilke data de har fra kontoen din, er å gå Innstillinger> Facebook-informasjon Derfra kan du se hvilke bilder du har lagt ut og hvilke bilder du er merket i. Det lar deg også du laster ned informasjonen din slik at du kan se nøyaktig hva som er der.
Det forteller deg hva de har, når det gjelder å beholde gammel informasjon, har Facebook sagt at det kan ta opptil 90 dager å slette dataene permanent. Det betyr at de også vil bli kvitt beregninger hentet fra en AI-fotoskanning. https://www.nbcnews.com/card/facebook-does-delete-your-data-n864816
Facebook kan potensielt fremdeles ha et bilde av deg i opptil 90 dager, men den meldingen er automatisert og vil fremdeles dukke opp selv om de ikke har bilder av deg lenger. Det regnes som en form for CAPTCHA, siden det ville være vanskelig for en bot å replikere bilder som ikke er offentlig tilgjengelige, så selv om Facebook ikke har bildene dine lagret, kan nettstedet skure bildene de har for å se om du er sende inn et bilde som allerede er på nettstedet og derfor kan være en bot ved å bruke andre menneskers bilder. Det kan vise at du sannsynligvis ikke er en bot selv om det ikke kan gjenkjenne deg som deg. https://www.telegraph.co.uk/technology/2017/11/29/facebook-asking-users-upload-selfie-prove/
Kommentarer
- … og hvis den biometriske data ble hentet ut da bildene ble lastet opp? Da trenger de ikke bildene i lagring.
- Det stemmer opptil 90 dager som artikkelen sa, men Facebook bruker bildene som CAPTCHA selv om det ikke ‘ t har de boimetriske dataene slik at forklaringen ikke dekker alle muligheter.
- Så første linje i svaret ditt er nå feil? Fordi de fortsatt har bildene i 90 dager selv om han slettet dem? ‘ Jeg har virkelig problemer med å følge logikken din.
- Jeg sa at de ikke ville ha dataene i ALLE tilfeller. Noen ganger satt den på serveren en stund, men ikke alltid. Det betyr at forslaget om det i svaret ditt ikke alltid kan være sant.
- Forslag til hva? Hva tror du jeg sa?