Siti web

Lo sviluppatore trova i principali errori di codifica in Facebook, MySpace

Week 8

Week 8
Anonim

Siti di social networking MySpace e Facebook hanno apparentemente risolto errori di codifica che avrebbero potuto consentire a un utente malintenzionato di accedere a tutti i dati e le foto dei propri utenti.

Gli errori di codifica semplici sono allarmanti considerando l'estensione t

o quali social network sono andati a rassicurare i propri utenti che i loro dati saranno al sicuro. Il problema riguardava il modo in cui quei siti gestiscono le richieste di dati da altri domini, noti come "criteri interdominio".

Siti come MySpace e Facebook in genere bloccano altri domini dalla richiesta e ricezione di dati per motivi di privacy, ad eccezione dei loro domini sottodomini controllati.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Facebook non consentiva l'accesso da altre applicazioni sul suo dominio principale, ma uno sviluppatore nei Paesi Bassi, Yvo Schaap, scoprì che Facebook avrebbe consentito i dati

Poiché il sottodominio ha ospitato anche tutti i dati di Facebook, sarebbe possibile rubare dati attirando una vittima su un URL con un'applicazione Flash predisposta per raccogliere i dati se la vittima avesse il loro accesso automatico è abilitato, come fa la maggior parte delle persone, secondo il blog di Schaap.

Un "exploit più invasivo e nascosto potrebbe raccogliere tutte le foto, i dati e i messaggi dell'utente su un server centrale senza alcuna traccia, e non c'è motivo perchè questo non sarebbe accaduto già con i dati di Facebook e MySpace, "Schaap ha scritto sul suo blog.

Ha anche trovato il problema su MySpace, che ha permesso ad un dominio chiamato" farm.sproutbuilder.com "di accedere ai dati. Un'applicazione Flash può essere caricata su quel sito, che gli consente di accedere ai dati se una vittima ha visitato un URL dannoso.

Uno sguardo all'ultimo file crossdomain.xml di Facebook mostra che il bug sembra essere stato corretto. MySpace sembra aver rimosso "farm.sproutbuilder.com" dal suo elenco interdominio.

"Nessun dato privato di MySpace è stato esposto e la vulnerabilità non è mai stata sfruttata", si legge nella dichiarazione.