- 你的朋友連接到Facebook和檢查「記住我」。
- Facebook在瀏覽器上創建一個cookie。
- 你的朋友去洗手間。
- 您從他的瀏覽器及其數據中竊取您朋友的Cookie。
- 你回家後用這些數據製作這些餅乾。
假設Facebook的不相關聯餅乾+ IP,您可以訪問Facebook頁面。編輯:確實,Facebook不檢查IP。這是侵入Facebook應用程序的有效方法嗎? (可能還有Facebook)?
現在,讓我們來看看Facebook連接。這是關鍵。
- 用戶通過按下按鈕 「連接」。
- Facebook的設置瀏覽器,您的應用程序的後臺程序讀取,以確定用戶進行身份驗證的cookie。然後,將此FB-cookie-id與系統中的用戶相關聯。
如果您的系統不檢查IP,那麼理論上僞造的cookie將允許您訪問到所使用Facebook連接的應用程序。然後您可以訪問到應用程序,
有效期是說,做Facebook Connect來增加安全級別時,你應該檢查IP?但即使你這樣做了,也有人評論了IP欺騙。
@everybody誰寫着「物理訪問」:
是的,我同意的物理訪問的概念,使這個問題微不足道。但是,這是應用程序必須注意的漏洞。當然,Facebook簡介/毫無價值的應用程序並不重要......但如果應用程序是銀行系統呢?我只是說,如果花旗銀行或美國銀行使用「Facebook連接」(這將是愚蠢的,但我們假設),那麼這種方法將被證明是訪問其帳戶的簡單方法。
因此,Facebook連接不應該與任何「重要」的使用。對?
6.你的朋友是不是你的朋友了:P。 – 2009-10-16 22:26:30
平心而論,任何盒物理訪問意味着你擁有它,所以我覺得這個問題是重dundant。例如,你的朋友可能已經將他的瀏覽器設置爲記住密碼,並且以明文形式打開和查看這些內容是微不足道的。 – 2009-10-16 22:28:18
即使系統/ cookie確實檢查IP,您是否仍然欺騙IP? – 2009-10-16 22:30:10