Direkte Facebook-Unterstützung wegen Sicherheitsanforderungen eingestellt
Nach unseren jüngsten Herausforderungen mit Googles API-Änderungen stehen wir nun vor einer ähnlichen Situation mit Facebook. Obwohl wir Facebooks jährliche Sicherheitsaudits über Jahre hinweg erfolgreich bestanden haben, enthalten die Anforderungen für 2025 Vorgaben, die mit modernen, verteilten Arbeitsumgebungen nicht vereinbar und offen gesagt für tatsächliche Sicherheit kontraproduktiv sind. Daher können wir Transloadits Facebook-OAuth-App nicht mehr aufrechterhalten. Kunden können die Integration jedoch weiterhin mit eigenen Zugangsdaten nutzen.
Was ist passiert?
Jedes Jahr führt Facebook Sicherheitsaudits für Apps durch, die in seine Plattform integriert sind. Wir haben diese Audits stets bestanden, indem wir unsere robusten Sicherheitspraktiken nachgewiesen haben. In diesem Jahr hat Facebook jedoch eine Anforderung hinzugefügt, die grundlegend missversteht, wie moderne Technologieunternehmen arbeiten: Facebook verlangt nun, dass wir auf allen Workstations Antivirensoftware installieren und Definitionsupdates über einen zentralen Server verteilen.
Warum das für uns nicht funktioniert (und für viele moderne Unternehmen ebenso wenig)
Zunächst ist da die Realität einer verteilten Belegschaft. Transloadit arbeitet mit einem Team erfahrener Freelancer, die ausschließlich auf ihren eigenen Geräten arbeiten – in unserem Fall MacBooks. Das sind persönliche Geräte, keine unternehmenseigene Hardware. Die Installation zentraler Verwaltungssoftware auf persönlichen Geräten würde in mehreren Rechtsräumen gegen Datenschutzgesetze verstoßen, ein Maß an Gerätekontrolle erfordern, das für Vertragsbeziehungen mit Freelancern unangemessen ist, und Sicherheitslücken schaffen, indem wir Root-Zugriff auf persönliche Geräte erhielten.
Facebooks jüngste Anforderung steht außerdem im Widerspruch zu moderner Sicherheitsarchitektur. Unser Sicherheitsmodell folgt Zero-Trust-Prinzipien. Das bedeutet: Wir gehen davon aus, dass alle Endpunkte kompromittiert sein könnten, und setzen Sicherheit auf Server-/API-Ebene durch, wo Daten tatsächlich fließen. Das ist sicherer, als sich auf Endpoint-Antivirus zu verlassen, das ein falsches Sicherheitsgefühl vermitteln kann.
Schließlich gibt es plattformbezogene Aspekte, die zu berücksichtigen sind – etwas, das Facebook mit seiner neuen Anforderung versäumt. Alle unsere Teammitglieder verwenden macOS, das XProtect enthält: Apples integriertes Antivirensystem, das automatisch aktualisiert wird. Darüber hinaus Antivirensoftware von Drittanbietern mit Kernel-Level-Zugriff zu installieren, würde die Sicherheit in der Praxis verringern, weil zusätzliche Angriffsflächen entstehen.
Was wir stattdessen tun
Auch wenn wir keine Antivirenupdates zentral auf die persönlichen macOS-Geräte von Freelancern pushen, stellen wir Sicherheit sicher durch:
-
Vertragliche Verpflichtungen: Alle unsere Teammitglieder unterzeichnen Vereinbarungen, die Folgendes verlangen:
- Aktivierte automatische Updates für Betriebssystem und kritische Software
- Vollständige Festplattenverschlüsselung
- Zwei-Faktor-Authentifizierung für alle kritischen Dienste
- Regelmäßige Sicherheitsschulungen
-
Serverseitiger Schutz: Dort, wo Facebook-Daten tatsächlich fließen, setzen wir ein:
- ClamAV-Scans für eingehende Dateien
- Automatisierte tägliche Betriebssystem- und Sicherheitsupdates
- Umfassendes Logging und Monitoring
- Sicherheitsaudits durch Dritte
- Kontinuierliche Penetrationstests
-
Infrastrukturisolation: Produktionssysteme sind vollständig von Entwickler-Workstations isoliert; der Zugriff wird über SSH-Schlüssel und IP-Allowlisting gesteuert.
Der zermürbende Austausch
Obwohl wir umfassende Nachweise zu unseren Sicherheitspraktiken vorgelegt und detailliert erklärt haben, warum zentrales Endpoint-Management für unser verteiltes Freelancer-Modell sowohl unmöglich als auch unnötig ist, blieb Facebooks Prüfprozess unflexibel. Wir haben bereitgestellt:
- Screenshots unserer automatisierten Server-Update-Systeme
- Logs, die tägliche Sicherheitsupdates in der Produktion belegen
- Nachweise, dass ClamAV auf allen Servern läuft, die Nutzerdaten verarbeiten
- Dokumentation unserer vertraglichen Sicherheitsanforderungen
- Nachweis, dass wir innerhalb von 48 Stunden über 52.000 Antivirenscans durchgeführt haben
Dennoch verlangten die Antworten weiterhin „eine zentrale Konsole, über die macOS-Updates auf alle Benutzergeräte gepusht werden“. Das ist eine offen gesagt absurde Anforderung, die vor allem zeigt, wie grundlegend die Kluft zwischen Enterprise-IT und der tatsächlichen Arbeitsweise moderner, verteilter Teams ist.
Eine schwierige Entscheidung
Nach Monaten des Hin und Her wurde klar, dass Facebooks Sicherheitsbewertungsprozess für traditionelle Unternehmen mit unternehmenseigener Hardware und zentralen IT-Abteilungen konzipiert ist. Er berücksichtigt keine modernen verteilten Arbeitsmodelle, Teams auf Freelancer-Basis, Zero-Trust-Sicherheitsarchitekturen und die rechtlichen Realitäten beim Verwalten persönlicher Geräte.
Diesen Kampf fortzusetzen, würde Ressourcen erfordern, die wir als kleines Unternehmen schlicht nicht haben, da wir uns auf großartige Datei-Upload-Erlebnisse konzentrieren. Wichtiger noch: Die Einhaltung dieser Anforderungen würde unsere Sicherheitslage tatsächlich verschlechtern, weil wir gezwungen wären, unnötige Software mit tiefem Systemzugriff auf Geräten zu installieren, die uns nicht gehören.
Auswirkungen auf unsere Kunden
Wir bedauern die dadurch entstehenden Umstände sehr. Wir wissen, dass viele von Ihnen für Ihre Anwendungen auf die Facebook-Integration angewiesen sind, und Breaking Changes wie diese sind frustrierend. Wir haben unser Bestes getan, um diese Integration aufrechtzuerhalten, sind aber nicht bereit, ein Sicherheitstheater mitzutragen, das die persönlichen Geräte unserer Teammitglieder gefährden würde. Wir hoffen, dass Facebook seine Position letztlich überdenkt – rechnen jedoch nicht damit.
Der Weg nach vorn: eigene Zugangsdaten verwenden
Die gute Nachricht: Die Facebook-Integration in Uppy selbst bleibt vollständig funktionsfähig. Sie können sie weiterhin nutzen, indem Sie:
- Ihre eigene Facebook-App erstellen unter developers.facebook.com
- Facebooks Verifizierungsprozess selbst durchlaufen (stellen Sie sich auf die oben genannten Anforderungen ein)
- Uppy konfigurieren, damit Ihre Zugangsdaten verwendet werden, entweder mit:
- Ihrem eigenen Companion-Server
- Transloadits gehostetem Companion mit benutzerdefinierten Zugangsdaten
Benutzerdefinierte Zugangsdaten mit Transloadit einrichten
Wenn Sie Transloadits gehosteten Companion-Service verwenden, können Sie Ihre eigenen OAuth-Zugangsdaten bereitstellen:
uppy.use(Facebook, {
companionUrl: 'https://api2.transloadit.com/companion',
companionHeaders: {
'Transloadit-OAuth-Credentials': JSON.stringify({
key: 'YOUR_FACEBOOK_APP_ID',
secret: 'YOUR_FACEBOOK_APP_SECRET',
}),
},
})
Ausführliche Anweisungen finden Sie in unserem Leitfaden zur Verwendung benutzerdefinierter Zugangsdaten.
Ein größeres Muster
Es geht hier nicht nur um Facebook oder Google. Es geht um eine wachsende Kluft zwischen der Art, wie große Plattformen Sicherheit betrachten, und der tatsächlichen Arbeitsweise moderner Unternehmen. Es wird angenommen, dass jedes Unternehmen unternehmenseigene Geräte, zentrales IT-Management, Windows-basierte Infrastruktur und traditionelle Arbeitsverhältnisse hat.
Das geht klar an der Realität vorbei – und zunehmend mehr. Viele der innovativsten Unternehmen von heute arbeiten mit verteilten Teams, Freelancer-Beziehungen und BYOD-Richtlinien. Sicherheitsmodelle müssen sich weiterentwickeln und anerkennen, dass zentrales Endpoint-Management nicht immer möglich ist – oder überhaupt wünschenswert.
Ausblick
Wir werden das Facebook-Plugin in Uppy weiterhin unterstützen und Kunden helfen, die ihre eigenen Integrationen aufrechterhalten möchten. Außerdem prüfen wir alternative Ansätze, mit denen sich diese belastenden Anforderungen möglicherweise vermeiden lassen, ähnlich wie bei unseren Google Picker-Plugins.
Wir bleiben dem Ziel verpflichtet, das bestmögliche Datei-Upload-Erlebnis zu bieten, auch wenn die Landschaft der Drittanbieterintegrationen zunehmend anspruchsvoller wird. Vielen Dank für Ihr Verständnis und Ihre anhaltende Unterstützung.
Haben Sie weitere Fragen oder benötigen Sie Hilfe bei der Migration? Unser Support-Team hilft Ihnen gerne dabei, Ihre eigenen Facebook-Zugangsdaten einzurichten oder alternative Lösungen zu prüfen. Kontaktieren Sie uns, und wir begleiten Sie gerne durch den Prozess.
