Ukecaný Facebook alebo nechcená identifikácia v praxi
Informácia o tom, že Facebook o nás môže povedať viac ako by sme chceli, nie je žiadnou novinkou. Koncom minulého roka sa však objavila správička o tom, že to dokáže šokujúcim spôsobom úplne bez vedomia užívateľa.
Útočník sa zmocní informácií z profilu užívateľa, ktorý navštívi jeho stránku a zároveň má v inom tabe (karte) internetového prehliadača otvorený Facebook, do ktorého je prihlásený alebo dokonca nemá ani otvorený Facebook, len sa predtým neodhlásil.
To, že nejde o FAKE mi potvrdil aj bezpečnostný expert Rasťo Turek, ktorý túto správu propagoval via Twitter.
Bloger, ktorý tieto informácie zverejnil sám hovorí, že nejde o CSRF, ale navrhuje pre svoju metódu názov Cross-Site Identification (CSID), teda čosi ako "Krížová identifikácia medzi internetovými stránkami". Prevádzkovateľ stránky, ktorá použije metódu CSID na svojich užívateľov tak získa možnosť urobiť z anonymných súrferov konkrétnych ľudí. Vedomosť o identite návštevníka webu má potom široké využitie a možnosti zneužitia sú až hrozivo rozsiahle.
Ochrana
Podla vsetkeho by mal voci tomuto utoku pohodlne zabranovat NoScript, rozsirenie pre Firefox. Podstata utoku je totizto rovnako ako pri XRSF
NoScript
Pozn: NoScript je otvorené rozšírenie, ktoré možno doinštalovať do všetkých internetových prehliadačov na báze Mozilla.
este nieco zaujimave o FB zo sucastnosti
Facebook employee reveals that employee's access user profiles with a master password and multiple copies of user information are stored in data centres
Tresty za porušenie
Aspoň, že zistené porušenia nezostali bez následkov >>>
*Rumpus asked if Facebook employees ever abused the privilege of having universal access? The employee said: “I know it has happened in the past, because at least two people have been fired for it that I know of.”*