Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Facebook hírek

2011.10.29. 08:00 | buherator | Szólj hozzá!

Az utóbbi napokban beesett több, a Facebook biztonságával kapcsolatos hír, melyek egyrészt remek poszttémaként szolgálnak, másrészt viszont előhozzák belőlem a Vágó Istvánt :)

Elsőnek ott van Nathan Power által felfedezett hiba, melynek segítségével nem megengedett kiterjesztésű fájlokat lehet küldözgetni - pl. EXE-ket - a felhasználóknak, mindössze egy space hozzácsapásával a fájlnév (kiterjesztés) végéhez a multipart POST kérésben. Az eset egyrészt jó példa arra, hogy még a Facebook programozóinak sem triviális a biztonságos fájlfeltöltés-kezelés, másrészt viszont azt is látnunk kell, hogy manapság már szinte bármilyen típusú fájlba csempészhető futtatható kód, ha bugos az olvasó program. Éppen ezért a Facebooknál minden csatolmányt vírusellenőrzés alá vetnek. Ebből a cikkből kiderül, hogy a Facebook Immune System naponta 25 milliárd kérést ellenőriz, ami egy elég szép szám.

Persze a leggyengébb láncszem - egy közösségi portál esetében főleg - az ember, ezért a hozzáférésvezérlés terén is folyamatosak a fejlesztések. Egy valóban hasznosnak ígérkező, elegáns megoldásnak tűnik a Megbízható Ismerősök rendszere. Ennek alapja, hogy minden felhasználó meghatározhat 3-5 cimbit, akikre számíthat, ha esetleg egy rosszindulatú támadás, vagy netán feledékenység miatt kizárul a saját fiókjából. Ebben a kellemetlen esetben a FB egy-egy kóddarabot küld ezeknek a Megbízható Ismerősöknek, melyeket összegyűjtve újra vissza lehet jelentkezni az oldalra. 

A másik újdonság az alkalmazásjelszavak bevezetése: az alkalmazások eléréséhez egyedi jelszavakat rendelhetünk. Az első gondolatom az volt, hogy ez talán akkor lehet hasznos, ha egy gonosz támadó nem elégszik meg a fiók elbitorlásával, de még a Farmville gazdaságunkat is tönkre akarja tenni. A valóság azonban ennél egy fokkal bonyolultabb, a probléma egy másik biztonsági funkció, a Login Approvals környékén keresendő. A Login Approvals annyit tud, hogy a rendszer SMS-es autentikációt is kikényszerít, ha ismeretlen eszközről (ahol nincs meg a FB ránk szabott sütije) próbálunk bejelentkezni. A probléma az, hogy néhány alkalmazás (pl.: Spotify) nem jól kezeli ezt a funkciót, így ismeretlen eszközről ezeket használni nem tudjuk. Az alkalmazásjelszó ezt a problémát hidalja át, tehát (ha jól értem) egy funkcionális javításról van szó, amit mellesleg jól el lehet adni biztonsági funkcióként, mert szerepel a nevében a "Password" szó...

És a végére még egy kis kötözködés: a Login Approvals nem működik túl jól privát böngészés közben, mivel ilyen esetben a böngésző nem tartja meg a sütiket. A Súgó persze segít, a furcsa csak az, hogy míg a funkció bekapcsolását három egyszerű mondatban írja le az oldal, addig a privát böngészés / automata sütitörlés kikapcsolását ugyanabban a pontban három böngészőre, öt képernyőképpel illusztrálva mutatják be. A nyomon követett felhasználók nyilván értékesebbek ;)

Címkék: spam hírek privacy facebook

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.