🛠️ Just nu pågår en större helrenovering här. Om du hittar något som inte fungerar som det ska får du gärna höra av dig! En av de saker som inte är på plats är kommentarsfältet.

Skip to main content
profile pic
Anders Thoresson

Secret(s), säkerhetshål och öppna standarder

| | | | Lästid: 2 minuter (2371 tecken)

Secret hävdar att ingen data har läckt via de 42 hål som upptäckts. Jag förstår att det är svårt att skriva säker kod, men marknadsför man en tjänst som *uppmanar* användarna att avslöja hemligheter anonymt, då förväntar jag mig bättre lösningar än så här. Frågan från i våras återstår: Vem är det du anförtror dina hemligheter?

I ett av de sista inläggen jag skrev på DN:s Teknikblogg undrade jag vem det är du anförtror dina hemligheter? Utgångspunkten för texten var Android-lanseringen av Secret, en av flera appar med målet att ge användaren anonymitet eller integritet.

I just Secrets fall handlar det om ett Instagram-liknande nätverk där man laddar upp en bild och en hemlighet. Finessen med Secret är att allt ska vara anonymt. Ingen vet vem som laddar upp vad.

Som jag konstaterade redan i våras:

Tjänsten har orsakat en hel del rabalder. Anonymiteten uppmuntrar till hot och lögner, har det sagts. En diskussion som känns igen från andra hörn av nätet där användarna är anonyma. Samtidigt finns det [andra som menar att anonymiteten lägger grunden för något positivt](andra som menar att anonymiteten lägger grunden för något positivt).

Om man nu bara kunde lita på att man verkligen är anonym.

I kölvattnet efter Edward Snowdens avslöjanden har jag sett ett flertal nya tjänster som ska skydda internetanvändarna från övervakning. Men precis som Secret dras de med ett problem: Det finns ingen öppenhet i hur tekniken fungerar.

Jag har precis skrivit klart en större artikel om säkerheten på internet (länk så snart den är publicerad). Ett av resonemangen i den handlar om behovet av öppna standarder. En av de jag intervjuar säger att en säkerhetslösning som ett företag utvecklar på egen hand aldrig kan bli bättre än företagets utvecklare, medan en öppen standard är resultatet av ett gemensamt arbete där (ofta) många fler är inblandade.

Tillbaka till Secret.

För att stärka säkerheten har företaget lagt upp en utmaning på HackerOne där personer utanför Secret utmanas i att hitta säkerhetshål. Enligt en artikel i Wired har 42 säkerhetshål hittats den vägen. Och alla kräver inte ens programmeringskunskap, utan bara att man läser på om hur Secret skapar anonymiteten.

För att knyta ihop personer som känner varandra på Secret använder tjänsten adressboken i deras telefoner och matchar e-postadresser mot registrerade användare. Givetvis utan att tala om vilka av vännerna som finns på Secret, annars skulle det ju inte finnas någon anonymitet. Och det finns en tröskel: Först när du har sju vänner på Secret kommer du få se deras hemligheter.

Men det fanns en uppenbar väg runt den här anonymitetsgaranten: Skapa sju egna konton på Secret, var och en med sin egen e-postadress. Testa sedan att lägga till dina vänners e-postadress en efter en tills dess att du hittar någon som använder Secret.

Svårare var det inte.

Secret hävdar att ingen data har läckt via de 42 hål som upptäckts. Jag förstår att det är svårt att skriva säker kod, men marknadsför man en tjänst som uppmanar användarna att avslöja hemligheter anonymt, då förväntar jag mig bättre lösningar än så här.

Frågan från i våras återstår: Vem är det du anförtror dina hemligheter?