Vývojář najde hlavní chyby kódování ve Facebooku, MySpace

Stránky sociálních sítí MySpace a Facebook zřejmě opravily chyby při kódování, které mohly umožnit útočníkovi přístup ke všem datům a fotografiím svých uživatelů

Jednoduché chyby kódování jsou alarmující vzhledem k rozsahu t

o které sociální sítě přistoupily, aby ujišťovaly uživatele, že jejich údaje budou v bezpečí. Problém se týkal způsobu, jakým tyto stránky zpracovávají požadavky na data z jiných domén, známých jako "zásady mezi doménami".

Weby, jako jsou MySpace a Facebook, typicky blokují jiné domény než požadovat a přijímat data z důvodů ochrany soukromí.

Facebook

Facebook zakázal přístup z jiných aplikací v hlavní doméně, ale vývojář v Nizozemsku Yvo Schaap zjistil, že Facebook by umožnil data které má být poskytnuto z jednoho ze svých subdomén.

Protože subdoména také obsahovala všechna data z Facebooku, bylo by možné ukrást data přiláčením oběti k adrese URL s aplikací Flash, která by byla schopna uchopit data, jejich auto-přihlášení je povoleno, což většina lidí dělá, podle blogu Schaapa.

"Invazivnější a skrytý exploit by mohl sklízet všechny osobní fotografie uživatele, data a zprávy na centrální server bez stopy a neexistuje žádný důvod proč tohle by se již neuskutečnily s údaji z Facebooku a MySpace, "napsal Schaap na svém blogu.

Našel také problém na MySpace, který umožnil doméně nazvané" farm.sproutbuilder.com "přístup k datům. Na tuto lokalitu lze nahrát aplikaci Flash, která by pak měla přístup k údajům, pokud oběť navštívila škodlivou adresu URL.

Podívejte se na poslední soubor Facebook crossdomain.xml, který ukazuje, že chyba byla opravena. Zdá se, že MySpace také vyloučilo "farm.sproutbuilder.com" ze svého seznamu mezi doménami