Lacune del genere sono piuttosto frequenti sul versante “social media” e BuzzFeed lancia la “bordata” nei confronti di Facebook spiegando che immagini e video “privati” pubblicati sulla piattaforma di Mark Zuckerberg così come su Instagram risultano accessibili da parte di chiunque ne conosca l’URL diretto.
In realtà, almeno a nostro avviso, il problema non sembra così grave come viene dipinto.
Lo sanno anche le pietre che per estrarre l’URL di qualunque elemento inserito in una pagina web basta farvi clic con il tasto destro, scegliere Ispeziona quindi copiare quanto indicato in corrispondenza dell’attributo src
.
Certo, è indubbiamente vero che copiando tale URL in una finestra di navigazione in incognito del browser, quindi come potrebbe fare un utente terzo non in possesso delle credenziali corrette, il contenuto si aprirà ma è altrettanto palese che BuzzFeed – nel suo scoop – si è dimenticato di chiarire che tali indirizzi non sono esposti alla mercé di chiunque: le pagine Facebook (e quindi i contenuti in esse inseriti) non vengono indicizzati dai motori di ricerca perché per accedervi è appunto necessaria un’autenticazione.
Per condividere, ad esempio, un’immagine con un altro utente è quindi necessario “catturarne” il link e fornirlo alla terza parte. Lo stesso risultato potrebbe essere raggiunto acquisendo uno screenshot e trasferendolo altrove.
Non solo. Se si prende l’URL di un’immagine “privata” tratta da Facebook (propria o di amici) e si prova a rimuovere alcuni parametri si otterranno messaggi d’errore come Bad hash e Bad URL timestamp. Ciò significa che la struttura dell’URL è essa stessa protetta da modifiche con un meccanismo di hashing (qualunque alterazione porta all’invalidazione dell’URL stesso) e che l’indirizzo ha una “data di scadenza”.
Non abbiamo ancora verificato la scadenza degli URL ma è evidente che Facebook è in grado di deciderla e aggiornarla lato server.
Insomma, la classica tempesta in un bicchiere d’acqua.