Strony internetowe

Deweloper znalazł poważne błędy w kodowaniu na Facebooku, MySpace

She said YES!!!

She said YES!!!
Anonim

Serwisy społecznościowe MySpace i Facebook najwyraźniej naprawiły błędy kodowania, które mogły umożliwić osobie atakującej dostęp do wszystkich danych i zdjęć swoich użytkowników.

Proste błędy kodowania są alarmujące, biorąc pod uwagę zakres t

o które sieci społecznościowe poszły na uspokojenie użytkowników, że ich dane będą bezpieczne. Problem dotyczył sposobu, w jaki te witryny obsługują żądania danych z innych domen, znane jako "zasady międzydomenowe".

Strony takie jak MySpace i Facebook zazwyczaj blokują inne domeny przed żądaniem i odbieraniem danych ze względu na prywatność, z wyjątkiem ich własne poddane weryfikacji poddomeny.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Facebook zabronił dostępu z innych aplikacji w swojej głównej domenie, ale deweloper w Holandii, Yvo Schaap, odkrył, że Facebook zezwala na dane może być wydana z jednej z jej subdomen.

Ponieważ subdomena hostowała również wszystkie dane Facebooka, możliwe byłoby kradzież danych poprzez zwabienie ofiary do adresu URL za pomocą aplikacji Flash tak skonfigurowanej, aby pobrać dane, jeśli ofiara miała ich auto-logowanie jest włączone, co czyni większość ludzi, według bloga Schaapa.

"Bardziej inwazyjny i ukryty exploit może zebrać wszystkie osobiste zdjęcia, dane i wiadomości użytkownika do centralnego serwera bez żadnego śladu i nie ma powodu dlaczego to nie byłoby to już dziełem danych Facebook i MySpace ", napisał Schaap na swoim blogu.

Znalazł również problem na MySpace, który pozwolił domenie o nazwie" farm.sproutbuilder.com "uzyskać dostęp do danych. Do tej strony mogła zostać przesłana aplikacja Flash, która następnie uzyskałaby dostęp do danych, gdyby ofiara odwiedziła złośliwy URL.

Przegląd najnowszego pliku crossdomain.xml na Facebooku pokazuje, że błąd został naprawiony. Wydaje się również, że MySpace usunęło "farm.sproutbuilder.com" z listy wielu domen.

"Żadne prywatne dane MySpace nie zostały ujawnione, a luka w zabezpieczeniach nie była nigdy wykorzystywana" - czytamy w oświadczeniu.

Deweloper z Lord of the Rings pracuje na konsolowych grach MMO

Deweloper z Lord of the Rings pracuje na konsolowych grach MMO

Twórca połączeń Asherona, D & D Online i Lord of the Rings Online mówi, że to współpraca z producentami sprzętu w celu dostarczania konsolowych gier MMO.

Naukowiec znalazł możliwy błąd w IPhone firmy Apple

Naukowiec znalazł możliwy błąd w IPhone firmy Apple

Atakujący musiałby najpierw wykorzystać działający exploit, ale mógł zdalnie odczytać wiadomości tekstowe i inne dane

Deweloper oprogramowania hazardowego przesuwa się, by naprawić błędy gry w pokera

Deweloper oprogramowania hazardowego przesuwa się, by naprawić błędy gry w pokera

Programista oprogramowania pokerowego planuje wprowadzić w tym tygodniu poprawkę na lukę odkrytą niedawno przez dwa zabezpieczenia naukowcy, którzy przeanalizowali jedną z aplikacji hazardowych.