This page has been robot translated, sorry for typos if any. Original content here.

Jede Site kann Informationen darüber erhalten, auf welchen beliebten Diensten Sie autorisiert sind

Entwickler Robin Linus auf seiner Seite auf GitHub Pages (der Besuch über den folgenden Link ist nicht sicher und wird vom Arbeitsplatz aus nicht empfohlen, da auf der Seite neben dem sichtbaren Teil der Dienste geprüft wird, ob Sie auf nicht jugendfreien Websites angemeldet sind. Dies bleibt als Übergangsversuch in den Firewall-Protokollen ) demonstrierte, wie Websites Ihnen einen „Mediendruck“ abnehmen können, dh Aufzeichnungen darüber, bei welchen beliebten Diensten Benutzer angemeldet sind, auch ohne Autorisierung auf der von ihnen besuchten Seite.

Für den Autor der Publikation lautet das "Medienimpressum" wie folgt und ist absolut richtig:

Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы

Und das ist sehr unangenehm.

Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы

Was ist das Wesentliche?

Zunächst erklärt der Verfasser der Notiz, wie die Umleitung zum Anmeldefenster erfolgt.

Wenn wir dem Link https://www.facebook.com/bookmarks/pages im Inkognito-Modus folgen, werden wir automatisch zum Autorisierungsbildschirm umgeleitet:

  https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Fbookmarks%2Fpages 

Achten Sie auf den zweiten Teil des Links des Formulars:

  https% 3A% 2F% 2Fwww.facebook.com% 2Fbookmarks% 2Fpages 

Dies ist die URL, zu der wir zurückkehren, nachdem wir das Autorisierungsverfahren auf Facebook durchlaufen haben. Wenn wir diese URL jedoch verwenden, um zur Autorisierungsseite weiterzuleiten, werden wir, wenn wir bereits auf der Website autorisiert sind, sofort zu Lesezeichen / Seiten weitergeleitet .

Noch einmal:

  • Wenn wir nicht angemeldet sind und zu https://% 3A% 2F% 2Fwww.facebook.com% 2Fbookmarks% 2Fpages gehen, gelangen wir zum Anmeldefenster.
  • Wenn wir eingeloggt sind, gelangen wir über denselben Link sofort zu https://www.facebook.com/bookmarks/pages.

Es scheint alles logisch.

Die Politik großer Ressourcen wie Facebook erlaubt es nicht, die Daten der Anfrage selbst zu empfangen, da Verbindung erfolgt über https. Wir können jedoch jedes Bild von der Domain erhalten, wenn Sie in login.php? Next = einen Link dazu angeben. Es ist natürlich unmöglich, Bilder von FB zu zeichnen, da das soziale Netzwerk fast alle Bilder auf fbcdn.net speichert. Sie können jedoch auf das Facebook-Logo "klopfen" - favicon.ico:

  https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Ffavicon.ico 

Und auf der Seite selbst verschleiern Sie es per img-tag als:

  <img src = "https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Ffavicon.ico"> 

Es sieht so aus: Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы

Wenn Sie oben dieses FB-Abzeichen gesehen haben ( Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы ), Glückwunsch, wir haben gerade dafür gesorgt, dass Sie bei Facebook eingeloggt sind (check). Wenn Sie nichts gesehen haben oder das Bild nicht geladen wurde, geben Sie das entsprechende Symbol zurück ( Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы ), dann sind Sie dementsprechend nicht bei Facebook eingeloggt .

Die endgültige Ausnutzung dieser Sicherheitsanfälligkeit erfolgt wie folgt:

  <img onload = "alert ('in fb angemeldet')" onerror = "alert ('in fb nicht angemeldet')" src = "https://www.facebook.com/login.php?next=https% 3A% 2F% 2Fwww.facebook.com% 2Favicon.ico "> 

Mithilfe dieser einfachen Manipulationen mit Symbolen können Sie Informationen darüber sammeln, welche Dienste das Publikum der Site ohne dessen Wissen nutzt. Dieser Mechanismus funktioniert für fast alle gängigen Webdienste, da alle ihre Symbole in der Hauptdomäne speichern.

Diese Sicherheitsanfälligkeit kann als eine der Phasen anderer Arten von Angriffen verwendet werden, z. B. ClickJacking oder ProfileJacking .

Servicereaktion

Das Problem des Zugriffs auf Informationen darüber, welche anderen Dienste eine Person verwendet, ist seit langem bekannt, wird jedoch von den meisten Unternehmen ignoriert. Hier sind die Antworten, die ich auf meine Robin-Fehlerberichte von einer Reihe wichtiger Dienste und sozialer Plattformen erhalten habe.

Facebook:

Vielen Dank für Ihre Nachricht. Dieses Problem wurde mit der für die Sicherheit auf Facebook verantwortlichen Gruppe besprochen, und dieser Fehler kann nicht am Programm zur Aufdeckung von Fehlern teilnehmen. Es gilt nicht für einen bestimmten Facebook-Nutzer. Die Möglichkeit, herauszufinden, wo der auf der Site angemeldete Benutzer berechtigt ist, stellt keine Sicherheitsbedrohung dar. Wir freuen uns auf jeden Fall über Ihren Bericht und weitere Fehlermeldungen von Ihnen.

Twitter:

Vielen Dank für Ihren Bericht. Natürlich sieht es interessant aus, aber ich sehe nicht, wie dieses Problem die Sicherheit von Twitter und seinen Nutzern gefährden könnte. Ich befürchte, dass dieses Problem als erledigt eingestuft werden kann und er nicht behaupten kann, am Bug Bounty-Programm teilzunehmen. Vielen Dank für Ihre Besorgnis über die Twitter-Sicherheit.

Yahoo:

Vielen Dank für Ihre Kontaktaufnahme. Dies ist ein bekanntes Problem, das Emeria Grossman bereits erwähnt hat . Wir werden uns überlegen, wie wir es in Zukunft lösen können.

Quadrat:

Vielen Dank für Ihre Kontaktaufnahme. Wir sind zu dem Schluss gekommen, dass diese Frage ein minimales Risiko darstellt und daher keine Änderungen am Kodex für seine Entscheidung vorgenommen werden.

Dropbox:

Danke! Wir werden diese Bedrohung berücksichtigen.

Tatsächlich ist die Position der meisten Dienste klar - wenn die Sicherheitsanfälligkeit nicht zum Diebstahl personenbezogener Daten / Kontodaten führt / keinen Zugriff auf eine Datenkategorie gewährt, handelt es sich nicht um eine Sicherheitsanfälligkeit.

FIX

Wenn Sie in Opera das Blockieren von Cookies von Drittanbietern einrichten , wird Folgendes gespeichert : https://imgd.ru/image/uchm , und wenn es deaktiviert ist, wird "alles offensichtlich" .

Via habrahabr.ru/post/312636/