Naciśnij ESC aby zamknąć

Luka w kodzie JavaScript Facebooka

facebook_logo.pngFacebook wprowadził ważne zmiany w sposobie tworzenia Facebook Pages – stron fanów różnych marek, zespołów muzycznych. Wcześniej zakładki do tych stron były tworzone na dwa sposoby.

Pierwszy, oparty na aplikacji Facebook FBML, umożliwiał ich tworzenie za pomocą statycznego języka FBML (Facebook Markup Language) lub HTML, co było bardzo proste i nie wymagało dużej wiedzy.

Drugi sposób polegał na dodaniu niestandardowej aplikacji Facebooka do standardowej zakładki FBML, tak aby aplikacja ta mogła zażądać danych zewnętrznych od strony trzeciej i wyświetlić je w zakładce. Treść takich zakładek podlegała jednak wielu ograniczeniom technicznym i była w całości proksowana przez Facebooka, co utrudniało wiele zadań, np. śledzenie pikseli lub wykonywanie funkcji JavaScript i Flash.

Na czym polegają zmiany? Otóż teraz można włączać ramki iframes bezpośrednio do aplikacji Facebooka na zakładkach stron, co pozwala uniknąć proksowania. Zmiana ta niewątpliwie ucieszy programistów działających zgodnie z prawem, ale – niestety – ułatwi również życie tym, którzy nie mają dobrych intencji.

Teraz można skonfigurować stronę Facebooka, utworzyć domyślną zakładkę docelową (tę, którą widać jako pierwszą po otwarciu strony) i dodać do niej aplikację zawierającą ramkę iframe. Ramka iframe może zawierać na przykład kod JavaScript, który natychmiast i bez interakcji kieruje użytkownika na wybraną stronę. Strona ta może zawierać fałszywy program antywirusowy lub zestaw exploita, który tylko czeka, aby niepostrzeżenie zainfekować komputer szkodliwym oprogramowaniem. Przestępca nie musi już przygotowywać ataków typu likejacking wywoływanych kliknięciem przycisku Like (Lubię to!), ani też przekonywać użytkownika do zainstalowania aplikacji. Może bardzo łatwo sprawić, że użytkownik sam odwiedzi szkodliwą stronę, co uruchomi łańcuch zdarzeń prowadzących do zainfekowania komputera i wykorzystania go w celach przestępczych. Oczywiście Facebook prosi swoich programistów o akceptację kodeksu postępowania, który zakazuje takich działań, ale w przypadku przestępców można to porównać do odebrania prawa jazdy złodziejowi samochodów.

Redakcja

Nasz zespół składa się z doświadczonych ekspertów w dziedzinie bezpieczeństwa informatycznego i najnowszych trendów technologicznych. Nasi autorzy posiadają wieloletnie doświadczenie zarówno w sektorze komercyjnym, jak i akademickim, co pozwala im na głębokie zrozumienie i analizę dynamicznie zmieniającego się świata technologii. Jako grupa specjalistów dostarczamy rzetelne i aktualne informacje, analizy oraz poradniki z zakresu bezpieczeństwa IT i innowacji technologicznych. Nasze artykuły opierają się na dogłębnym badaniu tematu, wsparte doświadczeniem naszych ekspertów. Stawiamy na edukację czytelników, pomagając im zrozumieć skomplikowane zagadnienia technologiczne i zachować bezpieczeństwo w cyfrowym świecie. Naszym celem jest dostarczanie precyzyjnych i aktualnych informacji, które wspierają zarówno profesjonalistów IT, jak i zwykłych użytkowników w zrozumieniu i adaptacji do szybko zmieniającego się świata technologii. Zależy nam na promowaniu kultury bezpieczeństwa i świadomości cyfrowej w społeczeństwie.