Ukecaný Facebook alebo nechcená identifikácia v praxi

Informácia o tom, že Facebook o nás môže povedať viac ako by sme chceli, nie je žiadnou novinkou. Koncom minulého roka sa však objavila správička o tom, že to dokáže šokujúcim spôsobom úplne bez vedomia užívateľa.


 

Útočník sa zmocní informácií z profilu užívateľa, ktorý navštívi jeho stránku a zároveň má v inom tabe (karte) internetového prehliadača otvorený Facebook, do ktorého je prihlásený alebo dokonca nemá ani otvorený Facebook, len sa predtým neodhlásil.

Bloger, ktorý tieto informácie zverejnil sám hovorí, že nejde o CSRF, ale navrhuje pre svoju metódu názov Cross-Site Identification (CSID), teda čosi ako „Krížová identifikácia medzi internetovými stránkami“. Prevádzkovateľ stránky, ktorá použije metódu CSID na svojich užívateľov tak získa možnosť urobiť z anonymných súrferov konkrétnych ľudí. Vedomosť o identite návštevníka webu má potom široké využitie a možnosti zneužitia sú až hrozivo rozsiahle.

2 thoughts on “Ukecaný Facebook alebo nechcená identifikácia v praxi

  1. Podla vsetkeho by mal voci tomuto utoku pohodlne zabranovat NoScript, rozsirenie pre Firefox. Podstata utoku je totizto rovnako ako pri XRSF

Pridaj komentár