Использование Facebook для входа на сторонние сайты чревато утечками данных - «Новости»
sitename
Новый регион, 60 часов геймплея и нелинейный сюжет: спустя 11 лет для Skyrim вышел сюжетный мод Lordbound размером с официальный аддон - «Новости сети»
Новый регион, 60 часов геймплея и нелинейный сюжет: спустя 11 лет для Skyrim вышел сюжетный мод Lordbound размером с официальный аддон - «Новости сети»
 Закулисное обновление в Steam разожгло слухи об апгрейде Red Dead Redemption 2 для «следующего поколения» - «Новости сети»
Закулисное обновление в Steam разожгло слухи об апгрейде Red Dead Redemption 2 для «следующего поколения» - «Новости сети»
 Блогер дошёл до «края мира» Minecraft — путешествие заняло 14 лет - «Новости сети»
Блогер дошёл до «края мира» Minecraft — путешествие заняло 14 лет - «Новости сети»
 UGREEN MagFlow: пауэрбанк и зарядные станции с магнитной беспроводной зарядкой Qi2 25 Вт - «Новости сети»
UGREEN MagFlow: пауэрбанк и зарядные станции с магнитной беспроводной зарядкой Qi2 25 Вт - «Новости сети»
 В Microsoft ответили на слухи о сворачивании разработки Xbox - «Новости сети»
В Microsoft ответили на слухи о сворачивании разработки Xbox - «Новости сети»
 Компания Джони Айва совместно с Balmuda создали уникальный морской фонарь - «Новости мира Интернет»
Компания Джони Айва совместно с Balmuda создали уникальный морской фонарь - «Новости мира Интернет»
 Amazon представила первый цветной Kindle Scribe с ИИ и новым дизайном - «Новости мира Интернет»
Amazon представила первый цветной Kindle Scribe с ИИ и новым дизайном - «Новости мира Интернет»
 Почему метрики и аналитика критичны для оценки эффективности
Почему метрики и аналитика критичны для оценки эффективности
 Anthropic создали нейросеть Claude Sonnet 4.5 для программирования и решения сложных задач - «Новости мира Интернет»
Anthropic создали нейросеть Claude Sonnet 4.5 для программирования и решения сложных задач - «Новости мира Интернет»
 Алиса научилась оживлять фото и работать в мессенджерах - «Новости мира Интернет»
Алиса научилась оживлять фото и работать в мессенджерах - «Новости мира Интернет»
Новости мира Интернет » Новости » Использование Facebook для входа на сторонние сайты чревато утечками данных - «Новости»

✔Использование Facebook для входа на сторонние сайты чревато утечками данных - «Новости»

20 апреля 2018 625 Новости 0

Эксперт Принстонского университета Стивен Энгельгардт (Steven Englehardt), недавно уличивший  в слежке за пользователями 50 000 самых посещаемых ресурсов по версии Alexa, выяснил, что многие аналитические и рекламные jаvascript-библиотеки также умеют извлекать пользовательские данные через функцию «Вход через Facebook» (Login with Facebook).


При поддержке двоих коллег Энгельгардт подсчитал, что как минимум 434 сайта из топового миллиона по версии Alexa используют сторонние библиотеки jаvascript, которые способны извлекать информацию, передаваемую посредством Login with Facebook. При этом исследователи полагают, что владельцы большинства этих ресурсов даже не подозревают о происходящем. Также специалисты подчеркивают, что утечки данных – это не баг и не проблема «Входа через Facebook». Скорее загвоздка заключается в том, как в современном вебе между собой «общаются» первосторонние и третьесторонние скрипты.


Сбор данных обычно производится двумя способами. Первый работает для сайтов, которые аутентифицируют пользователей посредством «Входа через Facebook». Так, когда человек хочет залогиниться на таком сайте, ресурс отправляет запрос серверам Facebook, а в ответ получает от социальной сети данные об учетной записи этого пользователя. Сторонние библиотеки jаvascript, интегрированные в страницу логина, способны перехватывать пришедшие от Facebook данные и извлекать из них информацию о пользователе и передавать на сторону.





Специалистам удалось выявить семь аналитических сервисов, которые следят за посетителями таким образом. Хотя некоторые из них собирают лишь специфичные для конкретных приложений user ID и на первый взгляд кажутся безобидными, эксперты объясняют, что этот user ID можно конвертировать в Facebook ID, получив больше данных о пользователе. Как видно в приведенной ниже таблице, такие сервисы собирают email-адреса, имена пользователей и их ID, а также информацию о гендерной принадлежности.





Второй сценарий сбора информации выглядит немного сложнее. В данном случае сторонние аналитические сервисы встраивают скрытые iframe на сайты, чтобы хитростью вынудить браузер пользователя войти через Facebook. Затем, как и в первом сценарии, осуществляется перехват и сбор данных о посетителе.





Энгельгардт и его коллеги пишут, что второй сценарий использовался на практике только сервисом Bandsintown. Причем после того как представителей Bandsintown уведомили о происходящем, проблема была оперативно устранена.


В заключение своего доклада эксперты советуют Facebook и другим поставщикам схожих «социальных логинов» провести аудит своих API и изменить их таким образом, чтобы третьи стороны не имели возможности собирать передаваемые этим путем данные.


Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперт Принстонского университета Стивен Энгельгардт (Steven Englehardt), недавно уличивший в слежке за пользователями 50 000 самых посещаемых ресурсов по версии Alexa, выяснил, что многие аналитические и рекламные jаvascript-библиотеки также умеют извлекать пользовательские данные через функцию «Вход через Facebook» (Login with Facebook). При поддержке двоих коллег Энгельгардт подсчитал, что как минимум 434 сайта из топового миллиона по версии Alexa используют сторонние библиотеки jаvascript, которые способны извлекать информацию, передаваемую посредством Login with Facebook. При этом исследователи полагают, что владельцы большинства этих ресурсов даже не подозревают о происходящем. Также специалисты подчеркивают, что утечки данных – это не баг и не проблема «Входа через Facebook». Скорее загвоздка заключается в том, как в современном вебе между собой «общаются» первосторонние и третьесторонние скрипты. Сбор данных обычно производится двумя способами. Первый работает для сайтов, которые аутентифицируют пользователей посредством «Входа через Facebook». Так, когда человек хочет залогиниться на таком сайте, ресурс отправляет запрос серверам Facebook, а в ответ получает от социальной сети данные об учетной записи этого пользователя. Сторонние библиотеки jаvascript, интегрированные в страницу логина, способны перехватывать пришедшие от Facebook данные и извлекать из них информацию о пользователе и передавать на сторону. Специалистам удалось выявить семь аналитических сервисов, которые следят за посетителями таким образом. Хотя некоторые из них собирают лишь специфичные для конкретных приложений user ID и на первый взгляд кажутся безобидными, эксперты объясняют, что этот user ID можно конвертировать в Facebook ID, получив больше данных о пользователе. Как видно в приведенной ниже таблице, такие сервисы собирают email-адреса, имена пользователей и их ID, а также информацию о гендерной принадлежности. Второй сценарий сбора информации выглядит немного сложнее. В данном случае сторонние аналитические сервисы встраивают скрытые iframe на сайты, чтобы хитростью вынудить браузер пользователя войти через Facebook. Затем, как и в первом сценарии, осуществляется перехват и сбор данных о посетителе. Энгельгардт и его коллеги пишут, что второй сценарий использовался на практике только сервисом Bandsintown. Причем после того как представителей Bandsintown уведомили о происходящем, проблема была оперативно устранена. В заключение своего доклада эксперты советуют Facebook и другим поставщикам схожих «социальных логинов» провести аудит своих API и изменить их таким образом, чтобы третьи стороны не имели возможности собирать передаваемые этим путем данные. Источник новости - google.com
CSS, через данных Facebook которые данные
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация