Новый продукт Linkedin Intro: удобство или слежка за пользователями?

    Предыстория


    Два дня назад в блоге Linkedin Engineering появилась запись «Linkedin Intro: Делаем невозможное на iOS»
    Этот продукт еще не освещался на хабре, но если говорить в двух словах — Linkedin предлагает использовать специальный IMAP proxy-сервер, который модифицирует входящие на ваше iOS устройство письма, добавляя в них информацию об отправителе из его профиля на Linkedin.



    Сама технология в целом достаточно прозрачна, что видно из следующей схемы


    Думаю, любой думающий человек сразу почувствует в этом определенный подвох, который заставит его призадуматься, что же скрывается за гордыми сообщениями о том, что команда инженеров сделала «невозможное»

    Чем же это грозит пользователям?


    Юридическая сторона вопроса

    В чуть более правовых государствах передача служебной переписки третьей стороне может вызвать достаточно серьезные проблемы, так что пользователям стоит задуматься, стоит ли использовать этот продукт. С учетом того, что linkedin чаще инструмент для поддержания служебных контактов — то и email, который будет у вас в профиле, и переписка с которого будет проксироваться — вероятнее всего будет ваш служебный.

    Intro модифицирует ваши письма

    И как следствие — это пораждает сразу несколько проблем:
    • Письма подписаные ЭЦП потеряют свою достоверность — подпись будет невалидна
    • Зашифрованные письма скорее всего тоже будут повреждены по той же причине
    • Блоки добавляемые к письму очень быстро станут целью фишинговых атак


    Проблемы с безопасностью самого Linkedin

    Не так давно база пользователей linkedin была скомпрометирована, возможно что будут происходить и дальнейшие атаки, равно как и нет гарантии что взломщики не оставили бэкдоров после последнего взлома.

    «Маркетинговые» исследования

    Хотелось бы быть реалистом — пользователи социальных сетей — не клиенты компаний, и ресурс этих компаний. Прибыльность часто зависит от того, как много владельцы социальной сети знают об узлах этой сети. Как минимум это позволяет таргетировать рекламу очень точно. Анализ переписки пользователей(пусть даже и автоматический, как у gmail) мог бы дать огромную массу бесценной информации.
    Нет никакой гарантии что Linkedin не будет сохранять вашу переписку.

    Если бы я был NSA...

    … и узнал что какая-то компания установила свой прокси на огромное количество смартфонов и перехватывает всю переписку их владельцев… ну вы поняли, да?

    Напоследок


    Несколько ссылок по теме:

    Буду рад замечаниям, присланным в личные сообщения

    Only registered users can participate in poll. Log in, please.

    Очередной бесполезный опрос на Хабре

    • 0.9%Да, я уже установил себе Intro5
    • 73.6%Нет, не устанавливал и не собираюсь.421
    • 25.5%Что такое Linkedin?146

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 20

      0
      Похожая фича давно есть у yandex mail как минимум в декстопном варианте: вы получаете письмо и Яндекс услужливо показывает аккаунты в соц. сетях отправителя. Если смог найти, конечно. Мало того, Яндекс игнорирует настройку Одноклассников «не индексируй мой аккаунт» и все равно его индексирует и показывает в почтовом интерфейсе. Как минимум, аккаунты ВК, Одноклассников и ФБ «раскрываются» таким образом. Не всегда, но очень часто:

      image

      и вот так:

      image
        +2
        А для Gmail есть потрясающее расширение Rapportive, которое делает примерно то же самое — в колонке слева от письма вместо рекламы показывает фотографию отправителя и все его профили в соцсетях, которые смогло найти. Естественно, в отличие от Intro, оно делает это просто по имейлу отправителя.
          0
          Что-то мне не хочется пользоваться этим расширением:

          image
        +1
        «Если бы я был NSA», то я бы сидел на каналах магистральных провайдеров и сливал почту там — всю. А не жалкие 0.01% недалеких пользователей, узнавших о новой фиче какой-то одной отдельной компании, захотевших ей воспользоваться и настроивших свой отдельный телефон.
          0
          Вы, похоже, сейчас заспойлили концовку инициативы с СОРМ-3 :)
            0
            СОРМ 3 ни имеет ничего общего с каналами провайдеров ;)
              0
              Она будет сферическая и в вакууме?
                0
                Нет, просто СОРМ 3 для сотовых операторов, а не для канальных провайдеров.
                  0
                  Во-первых, там не сказано про исключительно ОПСоС-ов!
                  Во-вторых, ОПСоС-ы не являются провайдерами и не имеют каналов?
                    0
                    Где «там»? Для интернет трафика, за исключением части VoIP предназначен СОРМ 2, СОРМ 3 к интернет трафику пользователей имеет опосредованное отношение.
                      0
                      Там, тарам, тарам-пам-пам… :) (вальс)

                      для реализации требований ПП РФ № 538 операторами связи, оказывающими следующие виды услуг связи (согласно перечню наименований услуг связи, вносимых в лицензии по ПП РФ №87):

                      телематические услуги связи;
                      услуги связи по предоставлению каналов связи;
                      услуги связи в сети передачи данных, за исключением передачи голосовой информации;
                      услуги связи по передаче голосовой информации в сети передачи данных.
                        0
                        А ты открой ПП РФ № 538 и найди там слово СОРМ и нумерацию ;) Эта нумерация не фигурирует в законах. Она является лишь логически разделением ответственности. Согласно этому разделению СОРМ-1 это PSTN + VoIP который, явный. СОРМ-2 это интернет трафик, включая VoIP которые гуляет просто по каналам, а не по выделенным. СОРМ-3, насколько я знаю, это работа с ОПСоСами.
                        Дублировать СОРМы друг друга не могут.
                          0
                          Эта нумерация не фигурирует в законах

                          Конечно не фигурирует, кто это отрицал?
                          ИС СОРМ «Январь» — комплекс аппаратно-программных средств...

                          «ЯХОНТ» – Аппаратно-Программный Комплекс...


                          лишь логически разделением ответственности

                          А разве не тупо по времени «рождения»?

                          Я только что процитировал о каких «операторах» идёт речь.
                            0
                            По времени рождения тоже. Но рождать новый СОРМ не имеет смысла, если старый с этим тоже работает, не так ли? «Январь», к примеру разрабатывается в фирме где разрабатывают и два первых СОРМА и их функционал не пересекается. Я не вижу смысла дальше это обсуждать, я сказал достаточно.
          0
          Непонятно, в чём профит.
          В linkedin можно настроить свой public profile URL — сделать его каким-то осмысленным, типа никнейма.
          И там же можно выбрать картинку «create profile badge» — например image
          А можно картинку сделать ссылкой…
          Что я и сделал, и разместил это в подписи почтового клиента, в моем случае — gmail.
          Получилось почти то же самое — если кому интересно — кликнет на картинку и попадет в профиль linkedin, но зато почту третьей стороне не надо отдавать.
            0
            Только у вас все ровно в противоположную сторону получилось. Вас в таком случае «видят», а вы — всех — нет. А решение в imap proxy позволяет как раз видеть ссылку на профиль любого человека на linkedin вне зависимости от того, прислал он вам на него ссылку добровольно или нет.
              0
              Я вижу того, кому я отправляю письмо. Если я хочу, чтобы он меня нашел на linkedin — ставлю подпись с картинкой от linkedin.
              Получилось в ту сторону, в какую надо, не хочу я пароль от почты отдавать кому-либо.
                0
                «Получилось в ту сторону, в какую надо» — это прекрасно, только то, о чем вы говорите, не имеет почти никакого отношения к тому, о чем речь в посте.
              0
              Так это ж ещё руками натраивать надо. А тут готовое решение!)

              Если чесно, то вы не совсем правильно поняли суть «новшества». Выше товарищ хорошо откомментировал)
              0
              LinkedIn никак не может решить кем он хочет быть.
              Ключевой функционал из-за которого люди платят деньги реализирован плохо (попробуйте найти объявление о вакансии месячной давности от интересующего вас человека в ленте под завалами котиков, бизнес статей и прочего треша), зато постоянно есть претензии создать свой «фейсбук» для деловых людей. И не было б проблем, хотите так делайте, но проблема в том что все ресурсы похоже уделены на «фейсбук» на всё остальное времени не остается.

              Only users with full accounts can post comments. Log in, please.