Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Формально несуществующая уязвимость в Facebook для iOS и Android 06.04.12 03:55
Publisher: dl <Dmitry Leonov>
|
Формально несуществующая уязвимость в Facebook для iOS и Android ZDNet http://www.zdnet.com/blog/security/facebook-android-ios-security-hole-only-for-jailbroken-devices/11369
Британский разработчик Гарет Райт (Gareth Wright) обнаружил, что приложения, работающие с Facebook как под iOS, так и под Android, без должного трепета относятся к защите пользовательских данных. Началось с того, что он нашел в папке одного из приложений файл, в котором открытым текстом лежал выданный токен для доступа к Facebook (хэш, который используется приложениями после успешной авторизации, чтобы не терзать пользователя каждый раз вводом логина/пароля). Имея этот хэш, уже можно вытащить из Facebook некую интересную информацию, доступную приложению, с помощью запросов на FQL (Facebook Query Language).
Дальше все стало еще веселее - в каталоге родного приложения Facebook нашелся файл com.Facebook.plist, в котором лежал не просто токен, а целый OAuth-ключ с временем жизни аж до 1 января 4001 года. Копирования информации из этого файла...
Полный текст
|
|
А какие ещё варианты кроме хранения токена в стандартно... 06.04.12 11:10
Автор: Alexander Abramov Статус: Незарегистрированный пользователь
|
А какие ещё варианты кроме хранения токена в стандартно отведённом для этого месте? Это такая же "уязвимость" как хранение браузером кукисов на диске в специальной папочке.
С ключом другое дело.
|
| |
так то ж британскому (tm) разработчику не понравилось, так-то понятно, что чудес не бывает 06.04.12 11:34
Автор: dl <Dmitry Leonov>
|
|
|
|