информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft предупредила о двух незакрытых... 
 Перевод Firefox на DNS over HTTPS 
 Microsoft закрыла серьёзную уязвимость,... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
так то ж британскому (tm) разработчику не понравилось, так-то понятно, что чудес не бывает 06.04.12 11:34  Число просмотров: 1072
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
<site updates>
Формально несуществующая уязвимость в Facebook для iOS и Android 06.04.12 03:55  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
Формально несуществующая уязвимость в Facebook для iOS и Android
ZDNet http://www.zdnet.com/blog/security/facebook-android-ios-security-hole-only-for-jailbroken-devices/11369

Британский разработчик Гарет Райт (Gareth Wright) обнаружил, что приложения, работающие с Facebook как под iOS, так и под Android, без должного трепета относятся к защите пользовательских данных. Началось с того, что он нашел в папке одного из приложений файл, в котором открытым текстом лежал выданный токен для доступа к Facebook (хэш, который используется приложениями после успешной авторизации, чтобы не терзать пользователя каждый раз вводом логина/пароля). Имея этот хэш, уже можно вытащить из Facebook некую интересную информацию, доступную приложению, с помощью запросов на FQL (Facebook Query Language).
Дальше все стало еще веселее - в каталоге родного приложения Facebook нашелся файл com.Facebook.plist, в котором лежал не просто токен, а целый OAuth-ключ с временем жизни аж до 1 января 4001 года. Копирования информации из этого файла...

Полный текст
А какие ещё варианты кроме хранения токена в стандартно... 06.04.12 11:10  
Автор: Alexander Abramov Статус: Незарегистрированный пользователь
<"чистая" ссылка>
А какие ещё варианты кроме хранения токена в стандартно отведённом для этого месте? Это такая же "уязвимость" как хранение браузером кукисов на диске в специальной папочке.
С ключом другое дело.
так то ж британскому (tm) разработчику не понравилось, так-то понятно, что чудес не бывает 06.04.12 11:34  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach