Az utóbbi napokban beesett több, a Facebook biztonságával kapcsolatos hír, melyek egyrészt remek poszttémaként szolgálnak, másrészt viszont előhozzák belőlem a Vágó Istvánt :)

Elsőnek ott van Nathan Power által felfedezett hiba, melynek segítségével nem megengedett kiterjesztésű fájlokat lehet küldözgetni - pl. EXE-ket - a felhasználóknak, mindössze egy space hozzácsapásával a fájlnév (kiterjesztés) végéhez a multipart POST kérésben. Az eset egyrészt jó példa arra, hogy még a Facebook programozóinak sem triviális a biztonságos fájlfeltöltés-kezelés, másrészt viszont azt is látnunk kell, hogy manapság már szinte bármilyen típusú fájlba csempészhető futtatható kód, ha bugos az olvasó program. Éppen ezért a Facebooknál minden csatolmányt vírusellenőrzés alá vetnek. Ebből a cikkből kiderül, hogy a Facebook Immune System naponta 25 milliárd kérést ellenőriz, ami egy elég szép szám.

Persze a leggyengébb láncszem - egy közösségi portál esetében főleg - az ember, ezért a hozzáférésvezérlés terén is folyamatosak a fejlesztések. Egy valóban hasznosnak ígérkező, elegáns megoldásnak tűnik a Megbízható Ismerősök rendszere. Ennek alapja, hogy minden felhasználó meghatározhat 3-5 cimbit, akikre számíthat, ha esetleg egy rosszindulatú támadás, vagy netán feledékenység miatt kizárul a saját fiókjából. Ebben a kellemetlen esetben a FB egy-egy kóddarabot küld ezeknek a Megbízható Ismerősöknek, melyeket összegyűjtve újra vissza lehet jelentkezni az oldalra. 

A másik újdonság az alkalmazásjelszavak bevezetése: az alkalmazások eléréséhez egyedi jelszavakat rendelhetünk. Az első gondolatom az volt, hogy ez talán akkor lehet hasznos, ha egy gonosz támadó nem elégszik meg a fiók elbitorlásával, de még a Farmville gazdaságunkat is tönkre akarja tenni. A valóság azonban ennél egy fokkal bonyolultabb, a probléma egy másik biztonsági funkció, a Login Approvals környékén keresendő. A Login Approvals annyit tud, hogy a rendszer SMS-es autentikációt is kikényszerít, ha ismeretlen eszközről (ahol nincs meg a FB ránk szabott sütije) próbálunk bejelentkezni. A probléma az, hogy néhány alkalmazás (pl.: Spotify) nem jól kezeli ezt a funkciót, így ismeretlen eszközről ezeket használni nem tudjuk. Az alkalmazásjelszó ezt a problémát hidalja át, tehát (ha jól értem) egy funkcionális javításról van szó, amit mellesleg jól el lehet adni biztonsági funkcióként, mert szerepel a nevében a "Password" szó...

És a végére még egy kis kötözködés: a Login Approvals nem működik túl jól privát böngészés közben, mivel ilyen esetben a böngésző nem tartja meg a sütiket. A Súgó persze segít, a furcsa csak az, hogy míg a funkció bekapcsolását három egyszerű mondatban írja le az oldal, addig a privát böngészés / automata sütitörlés kikapcsolását ugyanabban a pontban három böngészőre, öt képernyőképpel illusztrálva mutatják be. A nyomon követett felhasználók nyilván értékesebbek ;)