Oglas
![Facebook mirno prilepi masivno varnostno luknjo, ki jo lahko prizadenejo milijoni [Novice] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Facebook je potrdil trditve podjetja Symantec glede milijonov izpuščenih "dostopnih žetonov". Ti žetoni aplikaciji omogočajo dostop do osebnih podatkov in spreminjanje profilov, v bistvu daje tretjim osebam "rezervni ključ" do informacij o vašem profilu, fotografijah, stenah in sporočila.
Ni potrjeno, ali so te tretje osebe (večinoma oglaševalci) vedele za varnostno luknjo, čeprav je Facebook od takrat Symantecu povedal, da je bila napaka odpravljena. Dostop, odobren s temi ključi, bi lahko celo uporabil za rudanje osebnih podatkov uporabnikov, saj bi lahko dokazilo, da bi varnostna napaka segalo v leto 2007, ko so se zagnale Facebookove aplikacije.
Symantec zaposleni Nishant Doshi je dejal v objava na blogu:
“Ocenjujemo, da je aprila 2011 to iztekanje omogočilo blizu 100.000 vlog. Ocenjujemo, da je z leti na stotine tisoč aplikacij lahko nenamerno pricurljalo milijone žetonov za dostop tretjim osebam.”
Ni čisto Sony
Železniški dostopi so dodeljeni, ko uporabnik namesti aplikacijo in omogoči dostop do podatkov o svojem profilu. Ponavadi tipke za dostop potečejo sčasoma, čeprav številne aplikacije zahtevajo dostopni ključ brez povezave, ki se ne bo spremenil, dokler uporabnik ne bo določil novega gesla.
Kljub temu, da Facebook uporablja trdne metode preverjanja pristnosti OAUTH2.0, je še vedno sprejetih več starejših avtentikacijskih shem in jih v zameno uporablja več tisoč aplikacij. Prav te aplikacije, ki uporabljajo zastarele varnostne metode, so lahko nenamerno pricurljale informacije tretjim osebam.
Nishant razloži:
»Aplikacija za preusmeritev uporabnika uporablja uporabniško preusmeritev v pogovorno okno z dovoljenjem za programsko opremo. Ta posredna puščanje se lahko zgodi, če aplikacija uporablja zastareli Facebook API in ima naslednje zastarele parametre, „return_session = 1“ in „session_version = 3 ″, kot del njihove kode za preusmeritev.“
![Facebook mirno zakrpa množično varnostno luknjo, milijoni potencialno prizadetih [Novice] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Če bi bili uporabljeni ti parametri (na sliki zgoraj), bi Facebook vrnil zahtevo HTTP, ki vsebuje URL-je. V okviru sheme napotitve se ta URL nato posreduje tretjim oglaševalcem, skupaj z žetonom dostopa (na sliki spodaj).
![Facebook mirno zakrpa množično varnostno luknjo, milijoni potencialno prizadetih [Novice] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Uporabniki, ki so zaskrbljeni, da so bili ključi za dostop dobro in resnično puščeni, bi morali nemudoma spremeniti gesla in samodejno ponastaviti žeton.
O kršitvi na uradnem Facebookovem blogu ni bilo nobenih novic, čeprav so od takrat spremenjene metode preverjanja pristnosti aplikacij objavil na spletnem dnevniku za razvijalce, ki zahteva, da se vsa spletna mesta in aplikacije preklopijo na OAUTH2.0.
Ste paranoični glede internetne varnosti? Povejte svoje mnenje o trenutnem stanju Facebooka in spletni varnosti na splošno v komentarjih!
Kreditna slika: Symantec
Tim je samostojni pisatelj, ki živi v Melbournu v Avstraliji. Spremljate ga lahko na Twitterju.