mboost-dp1

Firefox 7-Facebook sikkerhedshul


Gå til bund
Gravatar #1 - Mr.White
29. sep. 2011 00:20
Firefox 7-Facebook sikkerhedshul


Jeg har (eller måske retter bibzoom.dk og Firefox7 udviklerne har uvidende), fundet et sikkerhedshul i Firefox7/Facebook der giver applikationer adgang til dine Facebook oplysninger, selvom du har deaktiveret denne mulighed.
Jeg har spæret denne mulighed men opdaget, efter at have opgraderet til Firefox7, at bibzoom.dk pludselig kunne omgå spæringen delvist. Hvis jeg går ind på en side med Facebook applikationer som f.eks.: http://www.bibzoom.dk/a/2011/09/27/moppedrengestre... , er Facebook feltet med venners anbefalinger korrekt deaktiveret, med en stor knap der opfordrer til at man øjeblikkeligt aktiver den. Men kommentar feltet er fuldt logget på, med profilbillede og det hele.
Jeg har ikke fundet problemet på andre websider med den samme FB. applikation,som f.eks. : tv2.dk, her er kommentar feltet deaktiveret korrekt, ligesom det ikke findes i andre browsers, eller tidligere ver. af FF. Hullet må derfor opstå i et uheldigt samspil mellem bibzooms kodning og FF7.

Nu tror jeg ikke at bibzoom.dk, der er drevet af de danske biblioteker, har haft til hensigt at hacke sig ind på Facebook, så meget mere som at deres side er kodet før udgivelsen af Firefox7, men strengt taget er de sig nu, uden egen skyld, blevet forbrydere der kan straffes hårdt.

Jeg vil derfor opfordre til at Facebook og Firefoxs udviklere finder og lukker dette hul, før nogen med skumle bagtanker finder det.
Og at andre, som jeg, lettere paranoide Firefox-Facebook bruger undlader at opdater til ver.7 til dette hul er lukket ;-) .

Mvh
Gravatar #2 - Mnc
29. sep. 2011 06:27
Er det så teksten du har sendt til bibzoom, eller... Har du kun skrevet det her på newz?
Gravatar #3 - Mr.White
3. okt. 2011 17:15
Jeg har naturligvis sendt en mail med en kopi af indlæget til bibzoom, som har vidersendt den til deres system ansvarlige.
Gravatar #4 - kasperd
3. okt. 2011 17:53
Hvad får dig til at tro at bibzoom.dk har adgang til nogen oplysninger? Alt hvad jeg kan se er en iframe der indlæses direkte fra facebook.

Det er samme iframe der sættes ind uanset om man er logget ind eller ej. Men indholdet af den iframe er selvfølgeligt forskelligt.

Til gengæld får facebook at vide at du har været inde på siden. Men det sker jo kun fordi bibzoom har valgt at sætte en iframe ind der henter data fra facebook.

Det kan dine indstillinger hos facebook naturligt nok ikke ændre på, da bibzoom indsætter den iframe uden at vide om du overhovedet bruger facebook.

At bibzoom så ikke burde sætte den iframe ind per automatik for alle deres brugere er en anden sag. De kunne have lavet en iframe med indhold fra deres eget site, hvor du så med et enkelt klik kunne få kommentarfeltet frem. På den måde ville facebook ikke få oplysninger om dit besøg på bibzoom med mindre du selv valgte det.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login