Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Szeretünk Facebook!

2010.10.20. 10:45 | buherator | 11 komment

Bardóczi Ákos küldte az alábbi szösszenetet arról, hogyan szivárognak ki a fácséra feltöltött képeink a tagelési funkción keresztül:

Most kezdtem el komolyabban foglalkozni az Facebook API-val és teljesen véletlenül találtam valamit, ami ismét csak a sokszor kritizált fotóalbum policy-t érinti.

Akár észrevette előttem valaki, akár nem, a bug igencsak húzós, egyszerűen azért, mert sok az érintett felhasználó, akik a fotóik láthatóságának beállításakor egyszerűen nem gondolnak például arra a lehetőségre, amit most leírok.

Lényeg, hogy a fotóalbumokban lévő fotó címkézése után a fotó láthatóvá válhat olyan felhasználó vagy applet számára is, ami egyébként erre nem lenne jogosult, azt nem tudom, hogy konkrétan a hiba mennyire kihasználható.

Amit a gyanum után teszteltem és működött is: tételezzük fel, hogy Aladár létrehoz egy albumot benne egy képpel, majd az album policy-ját úgy állítja be, hogy az abban lévő képeket kizárólag Béla lássa, akit megjelöl az albumban lévő fotón. Ezt követően, ha Béla megjelöli egy ismerősét, Cilikét az adott fotón, aki viszont Aladárnak nem is ismerőse, akkor Cilike számára láthatóvá válik az az album, aminek a hozzáférését Aladár elvileg úgy állította be, hogy azt csak Béla tudja megnézni. (Kicsit tovább gondolva - ha Cilike általános fotópolicy-ja olyan, hogy a képeit mindenki meg tudja nézni, az érvényes lesz arra a képre is, amit Aladár eredetileg teljesen rejtettnek szánt, azaz a FB összes júzere láthatja majd.) Ezt követően kipróbáltam, hogy mi történik akkor, ha Aladár az album láthatóságát úgy adta meg, hogy annak tartalmát kizárólag ő maga láthassa - a helyzet ugyanaz, azaz ha Béla taggelve van, ő is látja, ha ő taggelte Cilikét, akkor ő is, legrosszabb forgatókönyv szerint pedig Cilikén keresztül az egész
világ.

Nem volt még időm jobban utána kotorni a dolognak, de nagyon úgy fest, hogy akár appletről van szó, akár egy fent leírt hipotetikus esetről, amikor egyszerűen csak felhasználók nézegetik egymás képeit, az album policy-t egyszerűen nem veszi figyelembe a taggelési feature.

Ez mindenesetre ütős ahhoz képest, hogy pont az utóbbi időben a Facebook bátorította felhasználóit, hogy taggelgessék egymást, valamint több ezer, ha nem több tízezer idióta kisalkalmazás címkéz képeket jó esetben a felhasználók szives beleegyezése után.

Lehet rá mondani, hogy de gagyi, meg hülye júzer, meg közösségi hálóra eleve nem tölt fel fehér ember olyan tartalmat, amit nem akar megosztani, kapcsolódva ahhoz, amit az előző bekezdésben és a levél elején írtam - a kockázatot pont az teszi naggyá, hogy technikai szempontból viszonylag triviális, mégis sok felhasználót érint.

Címkék: privacy facebook az olvasó ír

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

synapse · http://www.synsecblog.com 2010.10.20. 13:14:46

Ez van, sok ember nem fogja fel hogy amit kozossegi halora tolt fel az olyan mintha otthagyna az utcan.

synapse

buherator · http://buhera.blog.hu 2010.10.20. 15:10:59

@synapse: De akkor ne legyen ott olyan gomb, hogy ezt csak Lajos láthatja...

synapse · http://www.synsecblog.com 2010.10.20. 15:38:33

Es az BIZTOSAN nincs beleirva valami jol eldugott EULA-ba hogy te tulajdonkeppen itt mindent kipublikalsz es semmi jogod nincs ugatni ha masok is meglatjak? Mert ha bennevan akkor azt irnak oda amit akarnak. Ha nincs akkor jogos a felvetes.

synapse

Aron bacsi 2010.10.20. 23:14:33

A Facebook-nal, ahogy a Google OpenSocial-nel is tobb metaadat tarolodik egy feltoltott kephez, de kozos mindkettoben, hogy van olyan URL, amit API-n keresztul le lehet kerdezni es az olyan, amit kivulrol is lehet latni! Tehat fuggetlenul attol, hogy valami policy-t beallitott-e ra juzer, sot, fuggetlenul attol, hogy valaki belepett-e a rendszerbe! Szoval, ha a kulso URL-t lekerdezed es elkuldod valaki masnak, akkor siman fogja latni a titkos kis kepedet! A Facebook-nal a "photos_get" valaszaban a "link", "src_small" es "src_big" kozul valamelyik adja vissza, OpenSocial API-nal mar nem emlekszem, hogy mik vannak...

axt · http://axtaxt.wordpress.com/ 2010.10.21. 08:00:37

Külön poén hogy míg a többi posztot nem lájkolja szinte senki, ezt már 35-en likeolták :-)

punti 2010.10.22. 19:33:10

Engem csak a kiváncsiság vezérelt és ugy találtam valami hasonlót mint Ákos. Amit én ésrevettem hogy akkor is meg tudom nézni más általam nem ismerös emberke képeit aki azt nem tette publikussá hogy ha ö engedte a "WALL"-ját látni és ott van hir az albumról. A wall-on keresztül a képekre kattintva máris kedvedre nézheted. Na ezt a kis hibát megtalálva én mindent tiltottam fb-n :)

DnP 2010.10.24. 19:38:23

@punti: Ezt mar en is ismertem egy ideje... csak van amikor 5 oldalt kell kutakodni egy kepfeltolteses postra :)

b. á. 2010.10.27. 00:17:44

@punti: Amit találtál, még valamivel több, mint egy hónappal ezelőtt is működött. Precízebben arról volt szó, hogy ha ismerősöd egy ismerősének képét lájkolta vagy kommentelte, akkor az a kép az ismerősöd wall-ján is megjelent mellette egy www.facebook.com/album.php?aid=x&id=y formájú hivatkozással, ahol az aid az album azonosítója [5 számjegy], az id a felhasználó azonosítója [általában 15 számjegy]. Ha valaki a linkre kattintottál, egyszerűen megnyitotta a szóban forgó albumot annak privacy-beállításától függetlenül, mert semmi sem ellenőrizte, hogy az albumot megnézheted-e vagy sem. A durva az, hogy talán kb. 1 hónapja javították a hibát, de azt megelőzően évekig működött. Azért arra kíváncsi vagyok, hogy ezt a tag-es cuccot mikorra javítják, már ha javítják egyáltalán.

Idevágó: múltkor volt könyvajánlgatós poszt, most én kommentben bátorkodom figyelmetekbe ajánlani két faja is könyvet, amiben valószínűleg van olyan, amit még nem tudtál:
www.mhprofessional.com/product.php?isbn=0071494618

www.pearsonhighered.com/educator/product/Developers-Guide-Social-Programming-Building-Social-Context-Using-Facebook-Google-Friend-Connect-and-Twitter-API/9780321680778.page

Bitorrent 2012.04.09. 21:52:57

@_2501: örülnél te ha ilyen undorító fejed lenne, ennyi pénzel a zsebedbe XD

_2501 2012.04.10. 09:48:13

@webster: azért ~1.5 év nem olyan rossz reakcióidő :)
süti beállítások módosítása