Non reale hijacking
ma serious security concern
comunque!
Ok, il giornalista ama usare parole forti. Quindi posizionare dirottare nel titolo è giusto per intrappolare i lettori.
Non è un dirottamento in quanto il link era presente intenzionalmente sul sito vittima .
Ma.
Dato che alcuni di questi siti sono protetti, mentre Facebook non lo fa, penso che ci sia un trucco per aggirare l'idea di trovare qualcosa come un modo per creare un MITM per lo scripting cross-site. (Mettere una pagina trappola su Facebook è banale).
Modifica
Per essere più espliciti: se questo caso non ha un'implicazione di sicurezza diretto , rivela un possibile modo di fare qualcosa del tipo:
- breaking facebook (sicuramente difficile da fare, ma sicuramente meno che rompere il sacco di banche che detengono un pulsante Facebook-i-Like sul sito web.)
- errori di corruzione e pagine di reindirizzamento per il reindirizzamento a un sito pirata nell'invio di origine per una buona selezione del modello di sito.
- spoofing design e aspetto del sito richiesto.
- raccogliere la password della vittima e avviare un danneggiamento della transazione MITM.
... Nella speranza, la vittima (che ha cliccato sul solito come o ha inserito correttamente l'URL nel browser) eseguirà la sua transazione senza accuratamente re - leggere la barra dell'URL del suo browser. .
Ma comunque, se fai clic su un link normale, quando vedi il sito corretto in arrivo, sei sicuro o hai ogni tempo di controllo della barra URL?
Nota: Se funzionasse bene, potrei immaginare un bot che faccia il lavoro per i punti 2 e 3 ... e 4.
Ricorda: in questa storia, l'utente non ha fatto clic in nessun punto prima del reindirizzamento! Secondo il mio punto di vista, questa è una seria preoccupazione per la sicurezza!
La mia conclusione / raccomandazione
Penso che quel sito che ha un reale problema di sicurezza (come le banche) deve rimuovere questo tipo di link dai loro siti web, fino a quando la preoccupazione verrà completamente rivista.