מפתחים מפתח שגיאות קידוד מובילות ב- Facebook, MySpace

אתרי הרשתות החברתיות MySpace ו- Facebook כנראה תיקנו שגיאות קידוד שיכלו לאפשר לתוקף גישה לכל הנתונים והתמונות של המשתמשים שלהם.

שגיאות הקידוד הפשוטות מדאיגות בהתחשב בהיקף t

o אילו רשתות חברתיות עברו כדי להרגיע את המשתמשים שלהם, כי הנתונים שלהם יהיו בטוחים. הבעיה הכילה את האופן שבו אתרים אלה מטפלים בבקשות לנתונים מדומיינים אחרים, הידועים כ'מדיניות בין תחומים '.

אתרים כגון MySpace ו- Facebook חוסמים בדרך כלל תחומים אחרים מפני בקשות וקבלת נתונים מטעמי פרטיות, למעט [

]> [

]> [

] פייסבוק אסר גישה ליישומים אחרים בתחום הראשי שלו, אך מפתח בהולנד, Yvo Schaap, מצא כי פייסבוק תאפשר נתונים להיות נתון מאחד מתת-הדומיינים שלה.

מכיוון שתת-הדומיין אירח גם את כל הנתונים של פייסבוק, ניתן יהיה לגנוב נתונים על ידי לפתות קורבן לכתובת אתר עם יישום Flash מבוים כדי לתפוס את הנתונים אם הקורבן היה על-פי הבלוג של Schaap. "ניצול פולשני ונסתר יותר יכול לאסוף את כל התמונות, הנתונים וההודעות האישיים של המשתמש לשרת מרכזי ללא כל עקבות, ואין סיבה למה זה לא היה קורה כבר עם נתוני פייסבוק ומייספייס ", כתב שאאפ בבלוג שלו.

הוא גם מצא את הבעיה ב- MySpace, מה שאיפשר לתחום שנקרא" farm.sproutbuilder.com "לגשת לנתונים. ניתן לטעון יישום Flash לאותו אתר, אשר לאחר מכן יהיה מותר לגשת לנתונים אם הקורבן ביקר בכתובת אתר זדונית.

מבט על הקובץ האחרון crossdomain.xml של פייסבוק מראה כי נראה כי הבאג תוקן. נראה ש- MySpace לקחה גם את "farm.sproutbuilder.com" מרשימת הדומיינים שלה.

"לא נחשפו נתוני MySpace פרטיים והפגיעות מעולם לא נוצלה", נאמר בהודעה.