服務條款的安全威脅-2012-12-15
相片儲存分享軟體製造商Instagram更改他的服務條款以賦予它自己在使用者的相片上擁有更大的權力,而使用者的反彈卻讓它永不得翻身。在這家公司瓦解之後,一般服務條款所衍生的安全威脅已經成為一個值得深思的問題。
當雲端計算成為標準,網路安全越來越封閉的時候,這些服務同意書的條款定義我們使用這些服務時業者所能做的事情及他們如何蒐集我們所發表的訊息。這些同意書是非常片面的,因為在大部分的時間裡,我們甚至沒有注意到這些業者的客戶,而且可能在沒有先告知的情形下就變了。當然,我們也沒有人看過它們。
這裡有個例子。Prezi的確是一套非常酷炫的簡報軟體。雖然你是在個人電腦上做簡報,但基本上他是透過雲端運算的方式。今年初,我在布拉格的CISO高峰會議中,其中一項討論集中在服務的部分,例如Prezi。CISO與會人員擔心這些放在公司機密文件外洩,或者是被不安全的雲端技術所儲存。我猜當他們看Prezi的使用條款時會更加擔心:
對於公開的使用者內容,你僅藉此並將賦予Prezi ( 以及他的繼承人、受讓人和第三方服務供應商)一個全球性,非獨家的、永久的、不可撤銷的、免版稅的、全額付款、轉授權以及可轉讓的許可證用來使用、複製、修改、創造出衍生作品、分類、公開展示、公開表演。除此之外,開發出內容用以連結製造、販售、促銷、行銷、和產品的配送,或者是與服務,或是為了提供服務給你或者是在任何的媒體上以既有的或尚在籌畫階段任何方式促銷有相關聯。
對於私密的使用者內容,你僅藉此並將賦予Prezi ( 以及他的繼承人、受讓人和第三方服務供應商)一個全球性,非獨家的、永久的、不可撤銷的、免版稅的、全額付款、轉授權以及可轉讓的許可證用來使用、複製、修改、創造出衍生作品、分類、公開展示、公開表演。除此之外,開發出內容只是用以提供給你服務。
這些段落聽起來Prezi似乎能夠作任何它想做的事情,包括創造一個競爭的行業,就如同我發佈在網站上的說法一樣。 (要注意的是Prezi所謂的人類可讀性,在法律上並不正確,更何況在使用者條款這份文件中並沒有提到這些。) 是的,我知道Prezi沒有打算要做那些事情,但事事多變、公司會倒閉、資產會轉售,到了最後事件的發展就像協議裡所說的一樣。
我不是想要挑剔Prezi;它不過是個例子。到底有多少其他這類的木馬藏在已經普遍使用的雲端服務業者協議裡:同樣來自服務提供者的同意書條款,許多公司決定拿來它們當成一個政策,然後員工卻利用它們來違反政策,全都只是為了便宜行事?
本文為【平行與分散式處理實驗室】協助翻譯
原文網址:https://www.schneier.com/blog/archives/2012/12/terms_of_servic.html
Leave a Reply