Разработчик обнаруживает основные ошибки кодирования в Facebook, MySpace

Сайты социальных сетей MySpace и Facebook, по-видимому, исправили ошибки в кодировании, которые могли позволить злоумышленнику получить доступ ко всем данным и фотографиям своих пользователей.

Простые ошибки кодирования вызывают тревогу с учетом степени t

o, какие социальные сети стали убеждать своих пользователей в том, что их данные будут безопасными. Проблема связана с тем, как эти сайты обрабатывают запросы на данные из других доменов, называемые «междоменной политикой».

Такие сайты, как MySpace и Facebook, обычно блокируют другие домены от запроса и получения данных по причинам конфиденциальности, за исключением их собственными проверенными субдоменами.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Facebook запретил доступ к другим приложениям в своем основном домене, но разработчик в Нидерландах Иво Шаап обнаружил, что Facebook позволит данные выдается из одной из его поддоменов.

Поскольку субдомен также размещал все данные Facebook, можно было бы украсть данные, заманив жертву URL-адресом с помощью приложения Flash, сфальсифицированного для захвата данных, если жертва их авто-логин включен, что большинство людей делает, согласно блогу Шаапа.

«Более инвазивный и скрытый эксплойт может без труда собрать все личные фотографии пользователя, данные и сообщения на центральный сервер, и нет причин почему это не будет происходить уже с данными как Facebook, так и MySpace », - написал Шаап в своем блоге.

Он также обнаружил проблему на MySpace, которая позволила домену под названием« farm.sproutbuilder.com »получить доступ к данным. Flash-приложение может быть загружено на этот сайт, после чего будет разрешен доступ к данным, если жертва посетила вредоносный URL.

Взгляд на последний файл crossdomain.xml Facebook показывает, что ошибка была исправлена. MySpace также, кажется, взял «farm.sproutbuilder.com» из своего кросс-доменного списка.

«Никаких частных данных MySpace не было обнаружено, а уязвимость никогда не использовалась», - говорится в заявлении.