Help

Help
Se apprezzi il nostro lavoro, aiutaci a rinnovare il blog

Post più popolari

Powered by Blogger.
*** Clicca su "follow" per iscriverti agli aggiornamenti Facebook di Alessandro Raffa, portavoce di nocensura.com: in caso di problemi o di censura, resterai in contatto con noi! Clicca QUI per iscriverti alla nostra pagina Facebook. Siamo presenti anche su twitter: http://twitter.com/nocensura e su Google Plus: http://plus.google.com/+nocensura

mercoledì 11 maggio 2011
La scoperta di Symantec: ecco come sono stati rubati i dati di accesso al social network

Violazione degli account e dei dati di accesso. Nuovi interrogativi piombano sul social network più diffuso al mondo, Facebook. Ad alimentare il sospetto è Symantec. Secondo l’azienda statunitense produttrice di software per la sicurezza informatica alcuni programmatori di Facebook avrebbero accidentalmente avuto accesso ai profili, fotografie e chat degli utenti e avrebbero avuto la possibilità di inviare informazioni.

Una volta segnalato il problema pare che Facebook abbia provveduto a riparare l’errore. Le applicazioni vengono quotidianamente utilizzate dalla stragrande maggioranza degli utenti. Secondo Facebook ne vengono installate circa 20 milioni al giorno. Per Symantec, azienda con sede a Cupertino, alcune delle applicazioni che fanno uso di iframe possono aver aperto l’accesso ai “token” degli utenti. I token sono una sorta di “chiavi di riserva” consegnate agli utenti del social network. Le applicazioni possono utilizzarle per eseguire determinate operazioni per conto dell’utente o accedere al profilo. Ad ogni token è associato una cerchia di operazioni, come la lettura della bacheca e delle interazioni con altri amici. Ognuno di essi termina di operare dopo un periodo di tempo prestabilito. Ma alcune applicazioni possono chiedere  di accedere al profilo anche in modalità offline e fruttare i token anche quando l’utente non è connesso al sito, fino al successivo cambio di password.

Per impostazione predefinita, Facebook utilizza per l’autentificazione il protocollo OAUTH2.0. I vecchi sistemi tuttavia, sono ancora supportati ed utilizzati da centinaia di migliaia di applicazioni. Quando un utente visita la pagina web apps.facebook.com/appname Facebook invia una quantità limitata di informazioni della persona (come città, nome, età) attraverso i quali l’applicazione personalizzerà poi la pagina. L’applicazione provvederà poi a reindirizzare l’utente verso una pagina contenente permessi. Se l’applicazione utilizza una versione obsoleta delle Facebook API ed è dotata dei parametri “return_session = 1″ e “session_version = 3″, come parte del loro codice di reindirizzamento, il social network restituisce il “token” inviando una richiesta http che contiene il token di accesso. “Non sappiamo quanti token possono essere stati sottratti dal 2007 – fa sapere la Symantec dal suo sito -. Ma pensiamo che molti di questi gettoni siano stati conservati e siano ancora disponibili nei file di log dei server gestiti da terzi o utilizzati da altre aziende. Gli utenti preoccupati per la loro sicurezza possono modificare la password del loro profilo per invalidare tutti i token sottratti”.

fonte



Condividi su Facebook

0 commenti:

I migliori libri di contro-informazione. La verità ci renderà liberi

macrolibrarsi un circuito per lettori senza limiti

cerca sul blog

Caricamento in corso...

Archivio articoli

Gli articoli sono ordinati in ordine cronologico; (i più recenti in cima) clicca sul titolo per aprire l'articolo

Blog Archive


Apprezzi il nostro lavoro? Aggiungi il nostro logo al tuo sito!

Lettori fissi