受到數億人歡迎的Facebook傳出,在過去一直存在有一重大安全漏洞!發現此狀況的一名應用程式開發人員Yvo Schaap說,雖然官方已經緊急修補該漏洞,但是可能已驚讓駭客取得使用者的賬戶個資、照片以及所有發佈在社交網路上的資料。
Yvo Schaap在個人MySpace部落格文章點名Facebook及MySpace含有重大安全漏洞,Schaap指出,Adobe推出crossdomain.xml以讓特定網域能夠存取其他網域的資料,在Facebook則不然,即使透過crossdomain.xml,仍舊禁止非Facbook網域的Flash程式存取主要網域資料;可是Facebook卻允許任何flash應用程式存取子網域的資料,而該子網域竟然儲存所有Facebook的資產,包括Facebook用戶程序。
Schaap表示,這也就是說,如果使用者是採用自動登入Facebook的模式,就能透過在用戶程序看到使用者的全名,還可利用使用者的憑證執行Facebook上的功能;而更嚴重的狀況是出在,大多數的Facebook用戶都啟動自動登入功能。此外,MySpace也有類似的漏洞。
因此,駭客很容易利用此漏洞,讓瀏覽器自動載入cookie及一個含有惡意Flash檔案的URL,此用戶會在不知情的情況下,帳戶再次自動登錄,而當用戶處理自動更新的時候,惡意代碼和病毒就會自動透過代為張貼使用者訊息,散佈給好友,同時,駭客在竊取資料時,不會在伺服器留下任何痕跡。
Yvo Schaap的發現對Facebook和MySpace是一個嚴重的打擊,雖然Facebook及MySpace迅速修補此漏洞,但是由於這兩個網站曾經多次被發現存在嚴重的安全問題,Schaap與外就普遍認為,應該已有其他開發人員已經發現此一漏洞,只是一直未被揭發而已,而使用者的資料可能早就外洩了。
------------------------------------------------------------
Facebook有一次我發覺粉怪~
問老公~我沒玩遊戲為什麼說我賺進多少美金??~~
嗯..而且我在我自己的塗鴉牆上發表了一串英文??我啥時發表了~看到鬼~!
一整個不解??功能也不解~~比如說回應~~發表了一個主題,有其他人回應了~也會專程寄信跟妳說回應了~~而且有時回的失敗連後悔ㄉ機會也沒有~還不能改~~因為已經寄到別人信箱了@@~我覺得很像日本手機的一齊メール全都寄,有時真的感覺蠻奇怪的就是了!
是一個互動流動式的超活部落格~~!
我不是來亂的,是真的搞不懂那裡ㄝ~~
結論是不大適合我這種主婦就退出了~~下台一鞠躬呀!謝謝!!
