所有積分大於負-100的壞孩子,將可獲得重新機會成為懲罰生,權限跟幼兒生一樣。
雖然Facebook及MySpace馬上就修補了遭Schaap點名的漏洞,但外界及Schaap皆認為,應該已有開發人員發現此一漏洞,只是一直未被揭露。
| | 一名Facebook應用程式開發人員,Facebook及MySpace含有重大安全漏洞,雖然該漏洞已修補,但可能已讓駭客取得上述社交網站使用者資料。
Schaap說明,一般而言,來自於A網域的flash應用程式無法存取B網域的資料,但這同時也限制了flash應用程式的能力,Adobe為了解決該問題推出了crossdomain.xml以讓特定網域能夠存取其他網域的資料。
即使透過crossdomain.xml,Facebook仍舊禁止非Facbook網域的Flash程式存取主要網域資料,但允許任何flash應用程式存取子網域的資料。不過,Schaap發現,該子網域儲存了所有Facebook的資產,包括Facebook用戶程序(user session)。
Schaap指出,這代表如果使用者是採用自動登入Facebook,就能透過上述程序看到使用者的全名,還可利用使用者的憑證執行Facebook上的功能,更嚴重的是,大多數的Facebook用戶皆啟動了自動登入功能。
隨後Schaap檢驗MySpace並指出該站也有類似的漏洞。Schaap認為,很輕易就可想到相關漏洞的各種攻擊途徑,所需的就只是自動登入cookie及一個含有惡意Flash檔案的網站,駭客可以自動代為張貼使用者訊息,以吸引使用者的友人造訪惡意站,或是在神不知鬼不覺的情況下蒐集使用者的個人資訊。
雖然Facebook及MySpace馬上就修補了遭Schaap點名的漏洞,但外界及Schaap皆認為,應該已有開發人員發現此一漏洞,只是一直未被揭露,使用者的資料可能早就外洩了 | ... |