7 febbraio 2013 Implicazioni di errore dell'integrazione di Facebook [duplicato]

Non reale hijacking ma serious security concern comunque!

Ok, il giornalista ama usare parole forti. Quindi posizionare dirottare nel titolo è giusto per intrappolare i lettori.

Non è un dirottamento in quanto il link era presente intenzionalmente sul sito vittima .

Ma.

Dato che alcuni di questi siti sono protetti, mentre Facebook non lo fa, penso che ci sia un trucco per aggirare l'idea di trovare qualcosa come un modo per creare un MITM per lo scripting cross-site. (Mettere una pagina trappola su Facebook è banale).

Modifica

Per essere più espliciti: se questo caso non ha un'implicazione di sicurezza diretto , rivela un possibile modo di fare qualcosa del tipo:

1. breaking facebook (sicuramente difficile da fare, ma sicuramente meno che rompere il sacco di banche che detengono un pulsante Facebook-i-Like sul sito web.)
2. errori di corruzione e pagine di reindirizzamento per il reindirizzamento a un sito pirata nell'invio di origine per una buona selezione del modello di sito.
3. spoofing design e aspetto del sito richiesto.
4. raccogliere la password della vittima e avviare un danneggiamento della transazione MITM.

... Nella speranza, la vittima (che ha cliccato sul solito come o ha inserito correttamente l'URL nel browser) eseguirà la sua transazione senza accuratamente re - leggere la barra dell'URL del suo browser. .

Ma comunque, se fai clic su un link normale, quando vedi il sito corretto in arrivo, sei sicuro o hai ogni tempo di controllo della barra URL?

Nota: Se funzionasse bene, potrei immaginare un bot che faccia il lavoro per i punti 2 e 3 ... e 4.

Ricorda: in questa storia, l'utente non ha fatto clic in nessun punto prima del reindirizzamento! Secondo il mio punto di vista, questa è una seria preoccupazione per la sicurezza!

La mia conclusione / raccomandazione

Penso che quel sito che ha un reale problema di sicurezza (come le banche) deve rimuovere questo tipo di link dai loro siti web, fino a quando la preoccupazione verrà completamente rivista.

Da quello che posso dire da quell'articolo è stato un errore con l'API Facebook "Connect" .

Questo è il pulsante di un sito che dice "Accedi con Facebook". È solo un link che il proprietario del sito inserisce nella pagina. Quando l'utente fa clic, sei reindirizzato al server di Facebook. I proprietari del sito non hanno alcun controllo su ciò che accade dopo questo.

Non "aggira le funzioni di sicurezza fondamentali" perché i proprietari dei siti hanno disposto un link a Facebook sul loro sito. Si fidano di Facebook per comportarsi, e loro no.

Ora che ci penso, è piuttosto disonesto che questo articolo abbia usato la parola "dirottare" nel titolo. Non sembra affatto un problema di sicurezza. Il titolo potrebbe anche aver affermato che "Facebook Connect non funzionava. Aveva un errore". Per favore, riempimi se sto fraintendendo.

EDIT: non richiedeva un clic del pulsante come avevo inferito. Ecco il javascript clusterfuck che i siti incorporano per Facebook Connect: link

Non c'è davvero molta implicazione per la sicurezza in questo evento. Non era collegato a nessun compromesso ed era semplicemente un errore di un fornitore di servizi. Illustra come i servizi ampiamente utilizzati come Facebook siano stati impigliati nei sistemi Single Sign-On, ma non è necessariamente una cosa negativa in senso stretto finché il single sign on non viene utilizzato per siti che necessitano di maggiore sicurezza (come ad esempio siti medici).

Non c'era un vero e proprio "dirottamento" e l'uso di quel termine è più o meno solo dei media che tentano di generare pubblicità indicando che un errore di Facebook ha causato a molti siti errori imprevisti.