This page has been robot translated, sorry for typos if any. Original content here.

Jede Website kann Informationen darüber erhalten, welche beliebten Dienstleistungen Sie autorisiert haben

Entwickler Robin Linus auf seiner Seite auf GitHub Seiten (ein Besuch auf dem folgenden Link ist nicht sicher und es wird nicht empfohlen, es vom Arbeitsplatz auszuführen, da neben dem sichtbaren Teil der Dienste die Seite überprüft, ob Sie bei erwachsenen Websites angemeldet sind, und dies wird in den Firewall-Protokollen als Migrationsversuch bleiben ) Demonstriert, wie Websites von Ihnen entfernen können "Medien-Fingerabdruck" , das heißt, halten Aufzeichnungen, welche beliebten Dienste Benutzer angemeldet sind, auch ohne Genehmigung auf der Seite besucht.

Für den Verfasser der Publikation sieht "media fingerprint" so aus und ist absolut richtig:

Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы

Und das ist sehr unangenehm.

Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы

Was ist das Wesen von

Zunächst wird erklärt, wie der Umleitungsvorgang zum Berechtigungsfenster fährt.

Wenn wir zum https://www.facebook.com/bookmarks/pages-Link im Inkognito-Modus gehen, werden wir automatisch zum Login-Bildschirm umgeleitet:

  Https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Fbookmarks%2Fpages 

Achten Sie auf den zweiten Teil des Links des Formulars:

  Https% 3A% 2F% 2Fwww.facebook.com% 2Fbookmarks% 2Fpages 

Dies ist die URL, die an uns zurückgegeben wird, nachdem wir das Berechtigungsverfahren auf Facebook durchlaufen haben. Aber wenn wir diese URL verwenden, um auf die Berechtigungsseite umzuleiten, wenn wir bereits auf der Website autorisiert sind, werden wir sofort zu Lesezeichen / Seiten gelangen .

Noch einmal:

  • Wenn wir nicht eingeloggt sind und gehen Sie zu https% 3A% 2F% 2Fwww.facebook.com% 2Fbookmarks% 2Fpages, dann gehen wir zum Login-Fenster.
  • Wenn wir eingeloggt sind, gelangen wir sofort auf den gleichen Link auf https://www.facebook.com/bookmarks/pages.

Es scheint, dass alles logisch ist.

Die Politik der großen Ressourcen, wie Facebook, erlaubt es Ihnen nicht, die Daten der Anfrage selbst zu erhalten, weil Die Verbindung erfolgt über HTTPS. Allerdings können wir jedes Bild aus der Domain bekommen, wenn du einen Link dazu in login.php anhast. Next =. Natürlich können Fotos von FB nicht in der Lage sein, dies herauszuholen, denn fast alle Bilder, die das soziale Netzwerk bei der Adresse fbcdn.net speichert, können Sie aber auf dem Facebook-Logo "klopfen" - favicon.ico:

  Https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Ffavicon.ico 

Und auf der Seite selbst, verkleide es durch das img-tag wie:

  <Img src = "https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Ffavicon.ico"> 

Es sieht so aus: Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы

Wenn das hier oben ein solches Icon FB ( Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы ), Herzlichen Glückwunsch, wir haben nur dafür gesorgt, dass du in Facebook eingeloggt bist . Wenn du nichts gesehen hast oder das Bild nicht geladen hast, gib das entsprechende Icon zurück ( Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы ), Dann, auf Facebook sind Sie nicht eingeloggt .

Die endgültige Ausnutzung dieser Sicherheitsanfälligkeit ist wie folgt:

  <Img onload = "alert ('angemeldet in fb')" onerror = "alert ('nicht angemeldet in fb')" src = "https://www.facebook.com/login.php?next=https% 3A% 2F% 2Fwww.facebook.com% 2Ffavicon.ico "> 

Mit diesen einfachen Manipulationen mit Icons können Sie sammeln, welche Dienste das Publikum die Website ohne ihr Wissen nutzt. Dieser Mechanismus funktioniert für fast alle großen Web-Services, da sie alle ihre Icons auf der Hauptdomäne speichern.

Diese Sicherheitsanfälligkeit kann als eine der Stufen anderer Angriffstypen verwendet werden, wie z. B. ClickJacking oder ProfileJacking .

Service Response

Das Problem, Zugang zu Informationen darüber zu bekommen, welche anderen Dienste eine Person benutzt, ist für eine lange Zeit bekannt, aber die meisten Unternehmen werden ignoriert. Hier sind die Antworten von Robins Bug-Reports von einigen der größten Dienstleistungen und sozialen Plattformen erhalten.

Facebook:

Vielen Dank für Ihre Nachricht. Dieses Problem wurde mit der Gruppe, die für die Sicherheit in Facebook zuständig ist, diskutiert und dieser Fehler kann nicht am Bug-Bounty-Programm teilnehmen. Es gilt nicht für einen bestimmten Facebook-Benutzer. Die Fähigkeit, herauszufinden, wo der Benutzer, der sich auf der Website angemeldet hat, autorisiert ist, stellt keine Sicherheitsbedrohung dar. In jedem Fall schätzen wir Ihren Bericht und freuen uns darauf, von Ihnen andere Fehlermeldungen zu hören.

Twitter:

Vielen Dank für Ihren Bericht. Natürlich sieht das interessant aus, aber ich sehe nicht ein, wie dieses Problem eine Bedrohung für die Sicherheit von Twitter und seinen Nutzern darstellen kann. Also, ich fürchte, dass dieses Problem als geschlossen betrachtet werden kann und kann nicht behaupten, an dem Bug-Bounty-Programm teilzunehmen. Vielen Dank für Ihre Sorge um Twitter Sicherheit.

Yahoo:

Vielen Dank für die Kontaktaufnahme mit uns. Das ist ein bekanntes Problem, das Emery Grossman bereits erwähnt hat . Wir werden darüber nachdenken, wie wir es in Zukunft lösen können.

Platz:

Vielen Dank für die Kontaktaufnahme mit uns. Wir kamen zu dem Schluss, dass dieses Problem das minimale Risiko darstellt und daher keine Änderungen an dem Code vorgenommen werden, um es zu lösen.

Dropbox:

Vielen Dank! Wir werden diese Bedrohung berücksichtigen.

Tatsächlich ist die Position der meisten Dienste klar - wenn die Anfälligkeit nicht zum Diebstahl von personenbezogenen Daten / Kontodaten führt / keinen Zugang zu einer Datenkategorie gibt, dann ist dies keine Anfälligkeit.

FIX

In Opera rettet die Einstellung der Blockierung von Cookies von Websites von Drittanbietern : https://imgd.ru/image/uchm , und wenn es ausgeschaltet ist, wird "alles klar" .

Über habrahabr.ru/post/312636/