C&P: A mi parecer, todas las redes sociales son inseguras, que ninguna brinda la suficiente seguridad, como para que yo depositase en ella mis datos, y después de solo unas cuantas horas mirando facebook, ya he encontrado el primer agujero de seguridad, un XSS que a priori no parecía explotable, pero que al final, con un poco de picaresca, he conseguido explotar. Es un XSS normal y corriente, pero que requiere que el usuario siga un enlace, lo cual reduce un poco el % de éxito y la peligrosidad.
Comentarios
El bug no es en la aplicación, sino en el sistema de plugins de facebook que permite esto.
¿Por que?
Por que si yo puedo crear una app, aunque sea exactamente igual que la del ejemplo, darle un link, que tu aceptes y hagas click, y yo, como resultado final, tenga tu cookie de facebook, el bug es de facebook.
Adicionalmente, dado como están las aplicaciones, hay bastantes afectadas, lo cual pone de manifiesto un problema de base en facebook y como se crean las aplicaciones.
Es como si mañana meneame permite crear aplicaciones de terceros, y de una forma u otra, por culpa de eso, te roban la cuenta de meneame, alguien podría decir que el bug no es de meneame, pero... la cuenta que te han robado es de meneame, y ha sido con una funcionalidad (la posibilidad de hacer apps) del propio meneame.
Si, hay un agujero muy grande de seguridad
Aparece despues de darle al boton de registrarse, y en cada uno de los "agujeros" en los que vas metiendo tus datos..... ahi es donde hay problemas de seguridad
#4 que pueden robar tu cuenta, y suplantarte.
#13 Cuando yo conoci meneame, el 90% de las noticias eran tecnicas y bastantes especificas, y el lenguaje que se manejaba era totalmente informatico-cientifico.
Asi que en realidad, este tipo de noticias eran las habituales en el meneame antes de comenzar a adoptar noticias mas generalistas y un publico mas abierto y heterogeneo
Viva NoScript!
Y para los profanos... ¿Eso que significa? ¿que se puede acceder a tus datos privados? ¿Hasta que nivel?
Que lujo el mío, poder decir a estas alturas....YO NO TENGO FACEBOOK!
Buena información
#3 vuando vi la entradilla y el comentario este resaltado, sabía que lo habías escrito tu
#5 aja, gracias.
Lo de que el usuario tenga que darle a un enlace no se si reduce tanto la efectividad. los usuarios que crean esas aplicaciones suelen ser de lo mas hoygan, no se plantean mucho si será seguro darle un click mas o no.
#11 Exactamente, no se como la gente puede vivir sin el NoScript.. Sin él me siento como desnudo
Opino igual que jcarlosn, es algo evidente. Si facebook tiene una api que pueda ser usada para esos fines es culpa de facebook no de las aplicaciones. Yo podria hacerme entonces una aplicacion maligna si fuera culpa de las aplicaciones. Si facebook permite aplicaciones de terceros se supone que tienen cierta limitación sino seria un caos. No entiendo las afirmaciones que dicen que son culpa de las aplicaciones de terceros. Espero que facebook lo arregle ya que soy un usuario suyo desgraciadamente. Y si, lo repare facebook.. si fuera un problema de aplicaciones todas ellas se tendrian que reparar y eso no es lo que va a pasar.
#13 #14 http://es.wikipedia.org/wiki/Cross-site_scripting
XSS ?? Cada vez se necesita más nivel para seguir las noticias...
¿ Alguien puede traducirlo en palabras que pueda entender ?
Como siempre, el principal agujero de seguridad es el que está entre la silla y el teclado.
#3 Amen!!!
A mi Facebook me encanta, estoy a ver si me registo después de la crisis.
#18 Namé!
#17 Amén!
#18 #20 Ramén!
@jcarlosn Por tu (repetido) voto negativo veo que no has entendido mi postura, te lo voy a explicar con un ejemplo.
Si encuentras un overflow en "passwd" el error se lo puedes achacar a Linux, a tu distro, a quien te dé la gana... pero si lo encuentras en el Ethereal será culpa del Ethereal, del que hizo la aplicación (y en última instancia tuya por instalarla).
"Piénsalo" y no vayas tan de sobrado majo que tampoco eres un gurú...
facebook contra ataca las filas de meneame otra vez
#12 tienes tuenti y cuenta en fresqui.
#19, te equivocas, será otro hell_awaits yo no tengo cuenta en esos sitios, además no se ni lo que es fresqui
#27 lee el artículo por favor
Es un bug en las EXISTENTES aplicaciones, de hecho en el artículo no se crea una para el ejemplo, sino que se coge una ya hecha, así que por favor, lee el artículo entero.
#29 y si es un error de ciertas aplicaciones, desarrolladas en facebook por un usuario sin privilegios, y el resultado es robarle la cookie a un tercero, sin su consentimiento, es un error de facebook o no lo es? Piensalo.
Hacer aplicaciones para facebook por un usuario sin privilegios es una funcionalidad de facebook, el cual, debe proteger que eso no acabe provocando que se vulnere la seguridad del sistema.
En la actualidad, facebook no consigue proteger a sus usuarios, y las aplicaciones echas en facebook, tienen bugs que permiten robarles las cuentas (algunas de ellas, no todas las aplicaciones, pero esto demuestra que hay mas bugs potenciales).
¿Hablamos o no hablamos de un agujero en facebook?
#3 Pero el problema reside en las aplicaciones, hay aplicaciones que implementan bien el interfaz con la api y otras no, no es un XSS en el sistema base de Facebook... eso sí que sería un bug en facebook.
Como bien dices, tienes que, crear una aplicación determinada, hacer que el otro se la instale y a partir de ahí robarle la cuenta facebook... no es como meter un XSS en tu perfil y que todo el que lo consulte vaya a parar a un tercero.
Puestos a hacer que la persona se instale una aplicación puedes hacerle de todo... la cosa no es nueva.
http://www.securitybydefault.com/2008/05/malware-20.html
#28 Sí, ya lo había leído. En cuanto a lo de crear una aplicación me refiero a que debe ser una aplicación "vulnerable", mal implementada, no vale cualquier aplicación, así que vaaaaale, no le llames crearla sino encontrarla... me da lo mismo, sigue siendo un error de algunas aplicaciónes.
#30 Que sí, pero para ello debes tener instalada la aplicación... si tienes facebook pelado sin aplicación alguna no te afecta. Así que es discutible el hecho de que sea un error "en" facebook.
Si desde facebook dan acceso a las aplicaciones para que vean la cookie es normal que pueda pasar de todo.
Pues le he dado al enlace que dice el autor del blog y no pasa nada. ¿Alguien ha comprobado que efectivamente existe un fallo en Facebook? ¿O todo el mundo se ha puesto a criticar por criticar?
El bug es en aplicación, no en Facebook... es sabido por todos que las aplicaciones facebook son una mierda pinchada en un palo.