Se ha aconsejado a los usuarios que consulten una lista de sitios afectados por Heartbleed y cambiar sus contraseñas en esos sitios una vez que sean que ya no sean vulnerables . Facebook parece no haber sido afectado; pero muchos sitios afectados usan inicios de sesión de Facebook.
¿Qué deben hacer los usuarios con los sitios afectados donde usan Facebook para iniciar sesión?
Los sitios que utilizan el inicio de sesión de Facebook nunca deben tener acceso a su nombre de usuario / contraseña. La API de Facebook conecta al usuario directamente a Facebook, lo autentica y luego la transfiere al sitio web en el que se encuentra.
Si algo diferente está sucediendo, ese sitio web probablemente se comporte maliciosamente (piense, emulando el proceso de inicio de sesión de Facebook como un sitio de phishing, en cuyo caso su inicio de sesión de Facebook ya estaría comprometido). En este caso, HeartBleed abre una superficie de ataque bastante estrecha ... si la clave privada de ese sitio se ve comprometida, y la sesión en la que envió su usuario / pase a ellos fue capturada previamente por el atacante, entonces ellos podrían descifrar su comunicacion Voy a poner las probabilidades en este como bastante bajo. De lo contrario, si no están parcheados y le envías a tu usuario de Facebook / pasa de nuevo, entonces un atacante podría agarrarlo si están atacando razonablemente cerca de ese momento.
No voy a sugerir que tal escenario no existe en ninguna parte de la web, pero para empezar, cualquier sitio al que normalmente quiera acceder que use un inicio de sesión de Facebook nunca tuvo acceso a su usuario / pase, porque la API protege específicamente contra ese escenario.
Lea otras preguntas en las etiquetas facebook openssl heartbleed