1
- 你的朋友连接到Facebook和检查“记住我”。
- Facebook在浏览器上创建一个cookie。
- 你的朋友去洗手间。
- 您从他的浏览器及其数据中窃取您朋友的Cookie。
- 你回家后用这些数据制作这些饼干。
假设Facebook的不相关联饼干+ IP,您可以访问Facebook页面。编辑:确实,Facebook不检查IP。这是侵入Facebook应用程序的有效方法吗? (可能还有Facebook)?
现在,让我们来看看Facebook连接。这是关键。
- 用户通过按下按钮 “连接”。
- Facebook的设置浏览器,您的应用程序的后台程序读取,以确定用户进行身份验证的cookie。然后,将此FB-cookie-id与系统中的用户相关联。
如果您的系统不检查IP,那么理论上伪造的cookie将允许您访问到所使用Facebook连接的应用程序。然后您可以访问到应用程序,
有效期是说,做Facebook Connect来增加安全级别时,你应该检查IP?但即使你这样做了,也有人评论了IP欺骗。
@everybody谁写着“物理访问”:
是的,我同意的物理访问的概念,使这个问题微不足道。但是,这是应用程序必须注意的漏洞。当然,Facebook简介/毫无价值的应用程序并不重要......但如果应用程序是银行系统呢?我只是说,如果花旗银行或美国银行使用“Facebook连接”(这将是愚蠢的,但我们假设),那么这种方法将被证明是访问其帐户的简单方法。
因此,Facebook连接不应该与任何“重要”的使用。对?
6.你的朋友是不是你的朋友了:P。 – 2009-10-16 22:26:30
平心而论,任何盒物理访问意味着你拥有它,所以我觉得这个问题是重dundant。例如,你的朋友可能已经将他的浏览器设置为记住密码,并且以明文形式打开和查看这些内容是微不足道的。 – 2009-10-16 22:28:18
即使系统/ cookie确实检查IP,您是否仍然欺骗IP? – 2009-10-16 22:30:10