Schließen Sie ist ein Werkzeug, das Angreifern die Möglichkeit gibt, Konten auf Webseiten die sich auf Facebook-Login entführen. Das Tool wurde von Sicherheitsforscher Egor Homakov als Reaktion auf Facebook Weigerung, einen Cross-Site Request Fehler in Facebook Login beheben wegen möglicher Probleme mit der Kompatibilität entwickelt.
Der Entwickler des Werkzeugs in seinem Blog, dass jede Website auf Facebook via Login verbunden ist, um Phishing-Bedrohungen ausgesetzt schrieb. Der zweite Angreifer findet einen 302 Umleitung zu einer anderen Domäne, das betreffende Konto kann entführt werden.
Homakov offen seine Kommunikation mit dem Facebook-Team. Von seinen Sorgen anerkannt, das Team schrieb, dass sie Kenntnis von dieser Angelegenheit, aber sie hatten nicht eine systematische Lösung. Das Team erwähnte auch, dass das Ausmaß des Problems war fraglich.
Andererseits, Homakov betont, dass trotz der Tatsache, dass Facebook die Geschäftsansatz ist verständlich,, man nie zwischen Sicherheit und Verträglichkeit zögern.
Was bedeutet Reconnect Do?
Das Tool nutzt die mangelnde CSRF (Cross-Site Request Forgery) Schutz, der drei Prozesse beinhaltet - Facebook einloggen, abmelden und fremde Rechnung Verbindungen. Facebook in der Lage, die Lösung der ersten beiden ist, aber nicht so, weil die oben erwähnten Grund tun. Die dritte Ausgabe, jedoch, muss von Webseiten-Besitzer, die den Login mit Facebook-Funktionalität zu integrieren wählte lösen.
Reconnect erzeugt bösartige URLs. Wenn ein Benutzer zum Klicken sie gelockt, sie aus ihr Profil angemeldet sind und eingeloggt sein, um ein Schelm Konto erstellt durch den Hacker. Dies ermöglicht es dem Angreifer ermöglichen, mit allen persönlichen Daten der Benutzer auf der Website Dritter hat einzugreifen,.
Facebooks Erklärung
Statt der Festlegung des Ausgabe, Facebook entschieden Dinge für Entführer schwer zu machen durch die Umsetzung paar Änderungen an CSRF Login vermeiden. Der Riese hat auch eine Anleitung für Entwickler, die erklärt, wie die Login-Dialoge in allen Fällen zu integrieren veröffentlicht.
Homakov die Schlussfolgerung
Während Homakov Aktionen können übertrieben, um einige scheinen, der Entwickler erfolgreich lenkte die Aufmerksamkeit auf ein Potenzial zu nutzen Bedrohung. Sein Rat zu Unternehmen und die Nutzer nicht mit dem Login von Facebook zur Verfügung gestellt. In seinen Worten:, Passwörter sind eine weit bessere Wahl.