Пользователи Facebook и MySpace должны смириться с мыслью о том, что для хакеров эти сайты являются одними из основных целей. И что хакеры в любой момент могут завладеть важной информацией о них, и даже украсть их аккаунт. Это, например, могло произойти в ближайшем будущем, если бы датский веб-разработчик не обнаружил серьезную дыру в безопасности сайтов, о которой он рассказал в своем блоге.
По сообщению 24-х летнего веб-разработчика Иво Счаапа (Yvo Schaap), обнаруженная им дыра позволяет получить полный контроль над аккаунтом пользователя Facebook или MySpace, который воспользовался его приложением. Причем отследить такую атаку будет невозможно – т.к. она будет производиться с IP самого пользователя.
По существу, дыра в безопасности не является ошибкой в кодах сайтов. Скорее она является проблемой небезопасности файла "crossdomain.xml" от Adobe (разработчика Flash). Данный файл разрешает некоторым доменам получать доступ к другим доменам (например, необходимость в этом возникает, когда некий домен X хочет отображать аватары пользователя Facebook). В результате же ошибки в нем, любое приложение Flash, в независимости от того находится ли оно на сайте Facebook или на любом другом сайте, может получить доступ к пользовательской информации на Facebook посредством под-домена connect.facebook.com. И все бы хорошо, если бы этот под-домен содержал только картинки пользователя, но, к сожалению, он содержит всю информацию Facebook, включая пользовательскую сессию Facebook, в которой хакеры могут найти все необходимое для выполнения дальнейших действий с аккаунтом пользователя.
C небольшой разницей подобной проблеме подвержен и MySpace. В то же время информации о ее исправлении ни со стороны Facebook/MySpace, ни со стороны Adobe пока не последовало. Хотя, вероятно, проблема уже решается, если еще не решена.
По существу, дыра в безопасности не является ошибкой в кодах сайтов. Скорее она является проблемой небезопасности файла "crossdomain.xml" от Adobe (разработчика Flash). Данный файл разрешает некоторым доменам получать доступ к другим доменам (например, необходимость в этом возникает, когда некий домен X хочет отображать аватары пользователя Facebook). В результате же ошибки в нем, любое приложение Flash, в независимости от того находится ли оно на сайте Facebook или на любом другом сайте, может получить доступ к пользовательской информации на Facebook посредством под-домена connect.facebook.com. И все бы хорошо, если бы этот под-домен содержал только картинки пользователя, но, к сожалению, он содержит всю информацию Facebook, включая пользовательскую сессию Facebook, в которой хакеры могут найти все необходимое для выполнения дальнейших действий с аккаунтом пользователя.
C небольшой разницей подобной проблеме подвержен и MySpace. В то же время информации о ее исправлении ни со стороны Facebook/MySpace, ни со стороны Adobe пока не последовало. Хотя, вероятно, проблема уже решается, если еще не решена.
Комментариев нет:
Отправить комментарий