powerpc1647 該用戶已被刪除 | 雖然Facebook及MySpace馬上就修補了遭Schaap點名的漏洞,但外界及Schaap皆認為,應該已有開發人員發現此一漏洞,只是一直未被揭露。
| | 一名Facebook應用程式開發人員,Facebook及MySpace含有重大安全漏洞,雖然該漏洞已修補,但可能已讓駭客取得上述社交網站使用者資料。
Schaap說明,一般而言,來自於A網域的flash應用程式無法存取B網域的資料,但這同時也限制了flash應用程式的能力,Adobe為了解決該問題推出了crossdomain.xml以讓特定網域能夠存取其他網域的資料。
即使透過crossdomain.xml,Facebook仍舊禁止非Facbook網域的Flash程式存取主要網域資料,但允許任何flash應用程式存取子網域的資料。不過,Schaap發現,該子網域儲存了所有Facebook的資產,包括Facebook用戶程序(user session)。
Schaap指出,這代表如果使用者是採用自動登入Facebook,就能透過上述程序看到使用者的全名,還可利用使用者的憑證執行Facebook上的功能,更嚴重的是,大多數的Facebook用戶皆啟動了自動登入功能。
隨後Schaap檢驗MySpace並指出該站也有類似的漏洞。Schaap認為,很輕易就可想到相關漏洞的各種攻擊途徑,所需的就只是自動登入cookie及一個含有惡意Flash檔案的網站,駭客可以自動代為張貼使用者訊息,以吸引使用者的友人造訪惡意站,或是在神不知鬼不覺的情況下蒐集使用者的個人資訊。
雖然Facebook及MySpace馬上就修補了遭Schaap點名的漏洞,但外界及Schaap皆認為,應該已有開發人員發現此一漏洞,只是一直未被揭露,使用者的資料可能早就外洩了 | ... |
|
所有積分大於負-100的壞孩子,將可獲得重新機會成為懲罰生,權限跟幼兒生一樣。 |
| |
| |
Powered by Discuz!
© Comsenz Inc.
重要聲明:本討論區是以即時上載留言的方式運作,對所有留言的真實性、完整性及立場等,不負任何法律責任。而一切留言之言論只代表留言者個人意見,並非本網站之立場,用戶不應信賴內容,並應自行判斷內容之真實性。於有關情形下,用戶應尋求專業意見(如涉及醫療、法律或投資等問題)。 由於本討論區受到「即時上載留言」運作方式所規限,故不能完全監察所有留言,若讀者發現有留言出現問題,請聯絡我們。有權刪除任何留言及拒絕任何人士上載留言,同時亦有不刪除留言的權利。切勿上傳和撰寫 侵犯版權(未經授權)、粗言穢語、誹謗、渲染色情暴力或人身攻擊的言論,敬請自律。本網站保留一切法律權利。