| Facebook не способен пока защитить пользователей от MITM-атак |
|
Разработчики Facebook реализовали целый комплекс мер по повышению защищенности пользовательских аккаунтов от взломов. В частности немало приложений соцсети стали использовать access token, представляющий собой маркер доступа, в обязательном порядке требующий подтверждения пользователя, чтобы приложение смогло заиметь безопасный временный доступ к API-функционалу Facebook.
Подтвердив таким манером соответствующий запрос приложения, пользователь выражает согласие на получение приложением доступа к строго определенным данным собственной учетной записи. Маркер при этом сохраняет сведения о своем сроке действия, о сгенерировавшем его приложении, а также об имеющихся у него правах доступа.
Однако независимый египетский эксперт кибербезопасности Ахмед Эльсобки выложил в Сеть скриншот примера проведения MITM-нападения на пользователей Facebook позволяющего атакующему заиметь доступ к такому маркеру. Успех нападению обеспечивает отсутствие HTTPS-соединения в приложениях соцсети.
При этом подразумевается, что приложения, обладающие нужными привилегиями имеют право публикации или удаления контента в этой соцсети и, кроме того, для доступа такие приложения пользуются не паролем, а access-токеном. В результате, любой, завладевший маркером, вплоть до момента окончания его валидации, без проблем сможет заполучить и конфиденциальные данные или выполнить любое, разрешенное для этого приложения действие.
В соцсети заверили, что они уведомлены о слабостях технологии токенов и разработчики уже активно совершенствуют официальные приложения соцсети. При этом разработчики Facebook специально отметили, что они никак не смогут исправить эту же проблему в приложениях сторонних разработчиков.
Надежные ssl сертификаты Comodo являются идеальным решением для полной защиты персональных данных во время работы в глобальной сети Интернет. |
|
Для всех, кто хочет улучшить видимость сайта в поисковых системах, повысить количество целевых посетителей и увеличить доход от ресурса, эксперты компании...
Посещаемость сайта все выше, денег покупатели тратят все больше, бизнес растет как на дрожжах. Согласитесь, это мечта любого владельца сайта и...
Мощный, заряженный мотивацией текст «продаст» товар даже тому, кто не заинтересован в покупке. Однако, если этот текст «некачественный» с точки зрения...
Скоро лето ─ сезон отпусков, пикников и отдыха. Возьмите с собой в дорогу или на дачу книгу «Как попасть в ТОП: практика эффективного SEO». В новом...
|