Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Még több Facebook hír

2011.01.27. 09:50 | buherator | 11 komment

Az afrikai események reflektorfénybe  állították a közösségi oldalakat, és azok biztonságát, a Facebook pedig két újítással válaszolt (kösz a linket Meister!): 

Az egyik a az opt-in HTTPS kapcsolat bevezetése, ami emberi nyelven annyit tesz, hogy egy új mező került a biztonsági oldalra, amin beállíthatjuk, hogy ezen túl hitelesített és titkosított kapcsolaton keresztül kívánunk hozzáférni a szájthoz. A dolog szépséghibája, hogy ezt eddig is megtehettük, csak a http:// protokollazonosítót kellett https://-re cserélni a böngésző címsorában, vagy telepíthettük például a HTTPS Everywhere Firefox kiegészítést. A "fejlesztés" ugyanakkor nem védi meg azokat az átlagos felhasználókat, akiknek lövésük sincs arról, hogy miért kell egy HTTP kapcsolatot titkosítani.

A másik újítás az előző posztban már említett "Social Authentication" (csak előbb még nem tudtam, hogy ennek ilyen szép neve van). Ezzel akkor találkozhatunk, ha gyanús tevékenységet észlel a stáb a profilunkkal kapcsolatban - például rövid idő alatt a világ különböző pontjain jelentkezünk be. Ilyenkor az oldal feldobja egy ismerősünk néhány képét, és ki kell választani, hogy ki látható a fotókon, így bizonyítva, hogy valóban mi vagyunk a fiók tulajdonosai.

Apropó képek! @benjamin_hu-tól kaptam először a linket az új Facebook képnézegetős hackre, igaz a teljes leírást csak később találtam meg. A probléma valószínűleg még mindig az, hogy a közösségi szájt mögött zakatoló NoSQL adathegyek nem tesznek lehetővé megfelelő autorizációt, így a megfelelő URL kitalálásával bárki fényképalbumait böngészhetjük. Íme a módszer:

  • Végy egy publikus képet szíved választottjának profiljából
  • Nézd meg a kép URL-jét: nXXXXXXXXX_YYYYYYY_ZZZZ.jpg
  • Töltsd be a facebook.com/photo.php?pid=YYYYYYY&id=XXXXXXXXX URL-t, és voilá, itt a privát album!

Szóval ennyit a biztonságról...

Címkék: privacy facebook

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

sghctoma · http://sghctoma.extra.hu 2011.01.27. 11:00:13

tegnapra igertek a checkboxot, de nekem meg nincs ott..
btw, https-en nem megy a chat, ez szerintem sokakat visszatart majd a hasznalatatol..

Aron bacsi 2011.01.27. 13:22:50

Ez a képkezelés nem tudom, hogy mennyire hack, legalábbis nálunk egy alkalmazás ezt ki is használja (és gondolom, akkor más is). Anno 2009 őszén írtam olyan FB app-ot, ami pont erre a tulajdonságra alapoz, ugyanis a júzer a saját képét (illetve annak "külső" URL-jét) elküldi egy harmadik félnek (aki nincs bejelentkezve FB-re), aki ezen URL-ről letölti a cuccot (legyen szó akár privát album képéről). A REST API-nál a "photos_get" hívásra asszem az "src_big", az új Graph API-nál facebook->api('/dir/photos') hívásra a "picture", illetve "source" változókba rakja a kép "külső" URL-jét az FB. Ezek mellett természetesen ad vissza "belső" URL-eket is, de az senkit nem érdekel.

De ha már FB kvázi-hack: azt tudtátok, hogy az új Graph API-nál szétválik a "júzer auth", és az "app auth" és van olyan jogosultság egy app-nál, hogy ha a júzer ki is lép FB-ből ("júzer auth" destroy) az app továbbra is tud tevékenykedni az ő nevében? ;-)

Aron bacsi 2011.01.27. 13:28:04

@sghctoma: címsorba beírva most is van HTTPS-es login felület. Amúgy ahogy a többiek is írták a másik post-ban, az valóban erőforrás-igényes lehet, ha x percenként mind a n*100m júzernek le kell játszania kulcsfrissítésnél az SSL handshake-et, elég az, ha csak bejelentkezéskor fut le...

gphilip · http://search-download.com 2011.01.27. 16:16:05

A Social Authentication is régi... és elég idegesítő, ha sokat utazol...

b. á. 2011.01.28. 23:33:25

Most nagyon populista, ha azt írom, hogy nekem az elhíresült, eredetileg privát Katy Perry-Mark Zuckerberg-duós képről ez a cím jutott eszembe: Pózolj egy fejjel magasabb, lófogú, X-lábú popdívával!

A témával kapcsolatban - Európában szerintem nem lesz SSL még egy ideig FB-n. Ezt a fotós tweak-et olvastam pár napja, de az egészhez egy eleve privát albumból kipecázott kép kell /*ugyan ez nem sokkal csökkenti a dolog súlyát*/

buherator · http://buhera.blog.hu 2011.01.29. 13:33:14

@b. á.: Kösz a pontosítást! A magam részéről egyébként sunáznám Katy Perry-t :)

apogany 2011.02.01. 17:57:29

a facebook sosem titkolta, hogy minden fotó és album rendelkezik publikus címmel, a lapok alján jól fel is ajánlja:

"Share this album with anyone by sending them this public link:"
illetve
"Share this photo with anyone by sending them this public link:"

buherator · http://buhera.blog.hu 2011.02.01. 18:19:00

@apogany:

Azért van egy lehelletnyi különbség aközött, hogy az nézi meg az albumomat, akinek elküldök egy linket, vagy az nézni meg az albumomat aki meg akarja nézni.

Ha a publikus linkek külön lennének lekezelve, és pl. egy véletlen azonosítót tartalmaznának, nem lehetne megcsinálni ezt.

apogany 2011.02.01. 18:28:07

@buherator: Persze, ebben igazad van, csak ez így nem autentikációs, hanem tervezési hiba.

buherator · http://buhera.blog.hu 2011.02.01. 18:44:01

@apogany: Én arra gyanakszom, hogy ez egy feature:

- Van ez az adattárunk, amivel iszonyú hatékonyan ki tudunk szolgálni 100 millió júzert, viszont iszonyú körülményes vele összetett adatkapcsolatokat definiálni. Mi legyen?
- Hülyéskedsz? A júzereket úgyis csak az érdekli, hogy gyors legyen meg szép kék, ráadásul kevesebbet is kell kódolni, win-win!