Sitios web

Detecta los principales errores de codificación en Facebook, MySpace

Week 8

Week 8
Anonim

Sitios de redes sociales MySpace y Facebook aparentemente han corregido errores de codificación que podrían haber permitido a un atacante acceder a todos los datos y fotos de sus usuarios.

Los errores simples de codificación son alarmantes considerando la extensión t

o qué redes sociales han ido a asegurar a sus usuarios que sus datos estarán seguros. El problema consistía en la forma en que esos sitios manejan solicitudes de datos de otros dominios, conocida como la "política de dominios cruzados".

Sitios como MySpace y Facebook generalmente bloquean otros dominios para solicitar y recibir datos por razones de privacidad, excepto por su propios subdominios examinados.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Facebook no permitió el acceso de otras aplicaciones en su dominio principal, pero un desarrollador en los Países Bajos, Yvo Schaap, descubrió que Facebook permitiría datos para ser entregado desde uno de sus subdominios.

Dado que el subdominio también albergaba todos los datos de Facebook, sería posible robar datos atrayendo a una víctima a una URL con una aplicación Flash amañada para obtener los datos si la víctima tenía su inicio de sesión automático está habilitado, lo que hace la mayoría de la gente, según el blog de Schaap.

Un exploit más invasivo y oculto podría recolectar todas las fotos, datos y mensajes personales del usuario en un servidor central sin dejar rastros, y no hay razón por qué esto ya no estaría sucediendo con los datos de Facebook y MySpace ", escribió Schaap en su blog.

También encontró el problema en MySpace, que permitió que un dominio llamado" farm.sproutbuilder.com "accediera a los datos. Se podría cargar una aplicación Flash en ese sitio, que luego se le permitiría acceder a los datos si la víctima visitó una URL maliciosa.

Una mirada al último archivo crossdomain.xml de Facebook muestra que el error parece haberse solucionado. MySpace también parece haber sacado "farm.sproutbuilder.com" de su lista de dominios cruzados.

"No se expusieron datos de MySpace privados y la vulnerabilidad nunca se explotó", decía la declaración.

Solucionando los errores de los proveedores de los sistemas de Internet

Solucionando los errores de los proveedores de los sistemas de Internet

Los vendedores ahora están trabajando en reparar un error crítico de TCP / IP que puede derribar muchos firewalls y sistemas operativos .

Gmail detecta posibles errores del destinatario en correos electrónicos grupales

Gmail detecta posibles errores del destinatario en correos electrónicos grupales

Gmail ahora puede detectar si un destinatario se ha quedado fuera de un grupo e- correo en el que la persona suele estar incluida.

Las 5 principales recompensas de errores pagadas a los piratas informáticos por gigantes tecnológicos

Las 5 principales recompensas de errores pagadas a los piratas informáticos por gigantes tecnológicos

Alejándose un poco de la percepción de los piratas informáticos para las masas, hay algunos que encuentran e informan vulnerabilidades en lugar de atacarlos. Aquí hay algunos