7 de febrero de 2013 Implicaciones de error de integración de Facebook [duplicar]

No es real hijacking pero serious security concern de todos modos.

Ok, al periodista le encanta usar palabras fuertes. Por lo tanto, colocar el secuestro en el título es correcto para atrapar a los lectores.

No es realmente un secuestro, ya que el enlace estuvo presente en el sitio web de victim de manera intencional.

Pero.

Como algunos de estos sitios están protegidos, mientras que Facebook no, creo que parece haber un truco para encontrar algo así como una forma de crear un MITM mediante la creación de scripts entre sitios. (Poner una página trampa en Facebook es trivial).

Editar:

Para ser más explícitos: si este caso no tiene una implicación de seguridad directa , revela una posible forma de hacer algo como:

1. romper Facebook (sin duda, es difícil de hacer, pero seguramente es menos que romper la gran cantidad de bancos que tienen un botón facebook-i-Like en el sitio web)
2. errores en las páginas de redirección y errores para redireccionar a un sitio pirata en origen de envío para una buena selección de la plantilla del sitio.
3. diseño de suplantación y apariencia del sitio solicitado.
4. recopilar la contraseña de la víctima e iniciar una corrupción de transacción MITM.

... Con la esperanza de que la víctima (que haya hecho clic en la URL habitual en el navegador) haya hecho su transacción sin volver a leer la barra de URL de su navegador. .

Pero, de todos modos, si hace clic en un enlace habitual, cuando ve que viene el sitio correcto, ¿tiene confianza o lo hizo cada vez que una comprobación de la barra de URL?

Nota: si funcionó bien, podría encontrar un bot que haga el trabajo para los puntos 2 y 3 ... y 4.

Recuerde: ¡En esta historia, el usuario no hizo clic en ningún lugar antes de la redirección! Según mi punto de vista, ¡esta es una preocupación de seguridad grave !

Mi conclusión / recomendación

Creo que el sitio que tiene una verdadera preocupación de seguridad (como los bancos) debe eliminar este tipo de enlaces de sus sitios web, hasta que la preocupación se revise por completo.

Por lo que puedo decir de ese artículo, fue un error con la API "Connect" de Facebook .

Este es el botón en un sitio que dice "Iniciar sesión con Facebook". Es solo un enlace que el propietario del sitio pone en la página. Cuando el usuario hace clic, se te redirige al servidor de Facebook. Los propietarios del sitio no tienen control sobre lo que sucede después de esto.

No "pasa por alto las características de seguridad fundamentales" porque los propietarios del sitio colocaron un enlace a Facebook en su sitio. Confían en Facebook para comportarse, y no lo hicieron.

Ahora que lo pienso, es un poco deshonesto que este artículo usara la palabra "secuestrar" en el titular. No suena como un problema de seguridad en absoluto. El titular también podría haber dicho que "la conexión de Facebook no funcionó. Hubo un error". Por favor, llámeme si estoy mal entendido.

EDITAR: No fue necesario hacer clic en el botón como lo había deducido. Aquí está el javascript clusterfuck que los sitios incorporan para Facebook Connect: enlace

En este evento no hay realmente una gran implicación para la seguridad. No estaba vinculado a ningún compromiso y era simplemente un error de un proveedor de servicios. Ilustra cuán ampliamente utilizados los servicios como Facebook se han enredado con los sistemas de inicio de sesión único, pero eso no es necesariamente algo estrictamente hablando, siempre que el inicio de sesión único no se use para sitios que necesitan mayor seguridad (como servicios financieros y sitios médicos).

No hubo un "secuestro" real y el uso de ese término es más o menos solo medios de comunicación que intentan generar publicidad al indicar que un error de Facebook provocó que muchos sitios tuvieran errores inesperados.