Использование Facebook для входа на сторонние сайты чревато утечками данных - «Новости»
sitename
Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
 «Думал, быстрее умру, чем дождусь её»: спустя семь лет после «Мора» в Steam вышла Pathologic 3 - «Новости сети»
«Думал, быстрее умру, чем дождусь её»: спустя семь лет после «Мора» в Steam вышла Pathologic 3 - «Новости сети»
 «Sea of Thieves, но в пустыне»: трейлер эвакуационного шутера Sand: Raiders of Sophie понравился игрокам - «Новости сети»
«Sea of Thieves, но в пустыне»: трейлер эвакуационного шутера Sand: Raiders of Sophie понравился игрокам - «Новости сети»
 Учёные нашли способ превращения испорченного молока в материал для 3D-печати - «Новости сети»
Учёные нашли способ превращения испорченного молока в материал для 3D-печати - «Новости сети»
 Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
 Спустя восемь лет после Wolfenstein 2: The New Colossus студия MachineGames взялась за Wolfenstein 3 — разработку подтвердил ещё один источник - «Новости сети»
Спустя восемь лет после Wolfenstein 2: The New Colossus студия MachineGames взялась за Wolfenstein 3 — разработку подтвердил ещё один источник - «Новости сети»
 Micron на следующей неделе заложит фундамент крупнейшего комплекса по производству памяти в США - «Новости сети»
Micron на следующей неделе заложит фундамент крупнейшего комплекса по производству памяти в США - «Новости сети»
 Власти потребовали от китайских компаний отменить заказы на американские ускорители Nvidia H200 - «Новости сети»
Власти потребовали от китайских компаний отменить заказы на американские ускорители Nvidia H200 - «Новости сети»
 Sony анонсировала лимитированную коллекцию ярких RGB-чехлов для PlayStation 5 - «Новости сети»
Sony анонсировала лимитированную коллекцию ярких RGB-чехлов для PlayStation 5 - «Новости сети»
 Блоки питания MSI получили звуковую защиту от плавления разъёма 12V-2×6 - «Новости сети»
Блоки питания MSI получили звуковую защиту от плавления разъёма 12V-2×6 - «Новости сети»
Новости мира Интернет » Новости » Использование Facebook для входа на сторонние сайты чревато утечками данных - «Новости»

✔Использование Facebook для входа на сторонние сайты чревато утечками данных - «Новости»

20 апреля 2018 653 Новости 0

Эксперт Принстонского университета Стивен Энгельгардт (Steven Englehardt), недавно уличивший  в слежке за пользователями 50 000 самых посещаемых ресурсов по версии Alexa, выяснил, что многие аналитические и рекламные jаvascript-библиотеки также умеют извлекать пользовательские данные через функцию «Вход через Facebook» (Login with Facebook).


При поддержке двоих коллег Энгельгардт подсчитал, что как минимум 434 сайта из топового миллиона по версии Alexa используют сторонние библиотеки jаvascript, которые способны извлекать информацию, передаваемую посредством Login with Facebook. При этом исследователи полагают, что владельцы большинства этих ресурсов даже не подозревают о происходящем. Также специалисты подчеркивают, что утечки данных – это не баг и не проблема «Входа через Facebook». Скорее загвоздка заключается в том, как в современном вебе между собой «общаются» первосторонние и третьесторонние скрипты.


Сбор данных обычно производится двумя способами. Первый работает для сайтов, которые аутентифицируют пользователей посредством «Входа через Facebook». Так, когда человек хочет залогиниться на таком сайте, ресурс отправляет запрос серверам Facebook, а в ответ получает от социальной сети данные об учетной записи этого пользователя. Сторонние библиотеки jаvascript, интегрированные в страницу логина, способны перехватывать пришедшие от Facebook данные и извлекать из них информацию о пользователе и передавать на сторону.





Специалистам удалось выявить семь аналитических сервисов, которые следят за посетителями таким образом. Хотя некоторые из них собирают лишь специфичные для конкретных приложений user ID и на первый взгляд кажутся безобидными, эксперты объясняют, что этот user ID можно конвертировать в Facebook ID, получив больше данных о пользователе. Как видно в приведенной ниже таблице, такие сервисы собирают email-адреса, имена пользователей и их ID, а также информацию о гендерной принадлежности.





Второй сценарий сбора информации выглядит немного сложнее. В данном случае сторонние аналитические сервисы встраивают скрытые iframe на сайты, чтобы хитростью вынудить браузер пользователя войти через Facebook. Затем, как и в первом сценарии, осуществляется перехват и сбор данных о посетителе.





Энгельгардт и его коллеги пишут, что второй сценарий использовался на практике только сервисом Bandsintown. Причем после того как представителей Bandsintown уведомили о происходящем, проблема была оперативно устранена.


В заключение своего доклада эксперты советуют Facebook и другим поставщикам схожих «социальных логинов» провести аудит своих API и изменить их таким образом, чтобы третьи стороны не имели возможности собирать передаваемые этим путем данные.


Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперт Принстонского университета Стивен Энгельгардт (Steven Englehardt), недавно уличивший в слежке за пользователями 50 000 самых посещаемых ресурсов по версии Alexa, выяснил, что многие аналитические и рекламные jаvascript-библиотеки также умеют извлекать пользовательские данные через функцию «Вход через Facebook» (Login with Facebook). При поддержке двоих коллег Энгельгардт подсчитал, что как минимум 434 сайта из топового миллиона по версии Alexa используют сторонние библиотеки jаvascript, которые способны извлекать информацию, передаваемую посредством Login with Facebook. При этом исследователи полагают, что владельцы большинства этих ресурсов даже не подозревают о происходящем. Также специалисты подчеркивают, что утечки данных – это не баг и не проблема «Входа через Facebook». Скорее загвоздка заключается в том, как в современном вебе между собой «общаются» первосторонние и третьесторонние скрипты. Сбор данных обычно производится двумя способами. Первый работает для сайтов, которые аутентифицируют пользователей посредством «Входа через Facebook». Так, когда человек хочет залогиниться на таком сайте, ресурс отправляет запрос серверам Facebook, а в ответ получает от социальной сети данные об учетной записи этого пользователя. Сторонние библиотеки jаvascript, интегрированные в страницу логина, способны перехватывать пришедшие от Facebook данные и извлекать из них информацию о пользователе и передавать на сторону. Специалистам удалось выявить семь аналитических сервисов, которые следят за посетителями таким образом. Хотя некоторые из них собирают лишь специфичные для конкретных приложений user ID и на первый взгляд кажутся безобидными, эксперты объясняют, что этот user ID можно конвертировать в Facebook ID, получив больше данных о пользователе. Как видно в приведенной ниже таблице, такие сервисы собирают email-адреса, имена пользователей и их ID, а также информацию о гендерной принадлежности. Второй сценарий сбора информации выглядит немного сложнее. В данном случае сторонние аналитические сервисы встраивают скрытые iframe на сайты, чтобы хитростью вынудить браузер пользователя войти через Facebook. Затем, как и в первом сценарии, осуществляется перехват и сбор данных о посетителе. Энгельгардт и его коллеги пишут, что второй сценарий использовался на практике только сервисом Bandsintown. Причем после того как представителей Bandsintown уведомили о происходящем, проблема была оперативно устранена. В заключение своего доклада эксперты советуют Facebook и другим поставщикам схожих «социальных логинов» провести аудит своих API и изменить их таким образом, чтобы третьи стороны не имели возможности собирать передаваемые этим путем данные. Источник новости - google.com
CSS, через данных Facebook которые данные
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация