This page has been robot translated, sorry for typos if any. Original content here.

Jede Website kann Informationen über die öffentlichen beliebte Dienste erhalten Sie angemeldet sind

Entwickler Robin Linus auf seiner Seite auf Seiten GitHub (auf dem folgenden Link Besuch unsicher und es wird nicht empfohlen , einen Job zu erledigen, da neben dem sichtbaren Teil der Service - Seite überprüft, ob Sie auf einer Seite für Erwachsene sind angemeldet sind, und es wird in den Protokollen Firewall als Versuch bleiben zu bewegen ) gezeigt , wie kann die Website von Ihnen entfernt werden „Printmedien“, dh in Besucher angemeldet, auch ohne Genehmigung auf der besuchten Seite eine Aufzeichnung der Öffentlichkeit beliebte Dienste halten wird.

Für den Autor der Publikation „Printmedien“ ist wie folgt und ist absolut wahr:

Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы

Und es ist sehr unangenehm.

Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы

Was ist die Essenz

Um zu beginnen, erklärt der Autor Hinweise, wie das Verfahren zum Anmeldefenster umleitet.

Wenn wir auf den Link https://www.facebook.com/bookmarks/pages im Inkognito - Modus gehen, dann werden wir automatisch zum Login - Bildschirm umleiten an:

  https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Fbookmarks%2Fpages 

Achten Sie auf den zweiten Teil des Verbindungstypen:

  https% 3A% 2F% 2Fwww.facebook.com% 2Fbookmarks% 2Fpages 

Dies ist die URL, auf die wir zurückkommen werden nach dem Autorisierungsprozess auf Facebook übergeben. Aber wenn wir die URL verwenden , um die Login - Seite umgeleitet, wo wir bereits auf der Website angemeldet haben, dann haben wir sofort auf den Lesezeichen / Seiten.

Noch einmal:

  • Wenn wir nicht eingeloggt sind, und schalten Sie https% 3A% 2F% 2Fwww.facebook.com% 2Fbookmarks% 2Fpages, dann kommen wir zum Login-Bildschirm.
  • Wenn wir angemeldet sind, dann würden wir den gleichen Link oben rechts auf https://www.facebook.com/bookmarks/pages erhalten.

Wie, alles ist logisch.

große Ressourcenrichtlinien, wie Facebook, damit die Daten nicht von der Anforderung zu erhalten, da Verbindung auftritt HTTPS. Wir können jedoch jedes Bild mit einer Domain erhalten, wenn Sie einen Verweis auf sie in der login.php? Next = angeben. Natürlich bekommen die Bilder des FB nicht zu ziehen, weil fast alle Bilder in fbcdn.net sozialen Netzwerken speichert jedoch möglich, auf das Logo von Facebook zu „klopfen“ - favicon.ico:

  https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Ffavicon.ico 

Und auf der Website zu verschleiern es von img-Tag wie:

  <Img src = "https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Ffavicon.ico"> 

Es sieht wie folgt aus: Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы

Wenn über Sie hier sehen, ist ein FB-Symbol ( Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы ) Herzlichen Glückwunsch, wir nur dafür gesorgt , dass Sie bei Facebook (Scheck) angemeldet sind. Wenn Sie nicht sehen, das Bild oder nicht progruz, das Symbol der Rückkehr ( Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы Das), entsprechend, Sie sind nicht bei Facebook angemeldet.

Die letzte Operation dieser Sicherheitsanfälligkeit wie folgt:

  <Img onload = "alert ( 'angemeldet zu fb')" onerror = "alert ( 'nicht angemeldet zu fb')" src = „https://www.facebook.com/login.php?next=https% 3A% 2F% 2Fwww.facebook.com% 2Ffavicon.ico „> 

Mit diesen einfachen Manipulationen mit Symbolen Informationen kann über gesammelt werden, welche Leistungen sind das Publikum von der Website ohne ihr Wissen. Dieser Mechanismus funktioniert für fast alle wichtigen Web-Services, da sie alle auf dem primären Domäne ihre Symbole halten.

Diese Sicherheitsanfälligkeit kann als eine der Stufen der anderen Arten von Angriffen, wie gebrauch ClickJacking oder ProfileJacking .

Reaktionsdienste

Das Problem des Zugangs zu Informationen über das, was andere Dienstleistungen, die von Personen verwendet werden, ist seit langem bekannt, aber von den meisten Unternehmen nicht berücksichtigt. Hier sind die Antworten auf ihre Fehler erhalten, berichtet Robin auf eine Reihe von wichtigen Dienstleistungen und sozialen Plattformen.

Facebook:

Vielen Dank für Ihre Berufung. Dieses Problem wurde mit dem Team verantwortlich für die Sicherheit in Facebook und diesem Fehler diskutiert wird, kann nicht in der Bug Bounty-Programm teilnehmen. Es gilt nicht für einen bestimmten Benutzer Facebook. Gelegenheit, um herauszufinden, wo der berechtigte Benutzer auf der Website angemeldet keine Sicherheitsbedrohung darstellen. Auf jeden Fall schätzen wir Ihren Bericht und freuen uns von Ihnen anderen Fehlermeldungen zu hören.

twitter:

Vielen Dank für Ihren Bericht. Natürlich sieht es interessant, aber ich sehe nicht, wie dieses Problem eine Bedrohung für die Sicherheit von Twitter und seinen Nutzer darstellen. Also, ich habe Angst, dass diese Frage geschlossen betrachtet werden kann und qualifizieren sich für den Bug Bounty-Programm kann es nicht. Vielen Dank für Ihre Sorge um die Sicherheit von Twitter.

yahoo:

Vielen Dank für das Schreiben. Dies ist ein bekanntes Problem, das wurde bereits Emer Grossman erwähnt . Wir denken darüber nach, wie es in der Zukunft zu lösen.

Platz:

Vielen Dank für Ihre Kontaktaufnahme. Wir kamen zu dem Schluss, dass dieses Problem ein minimales Risiko darstellt und damit alle Änderungen am Code für seine Entscheidung nicht getroffen werden.

Dropbox:

Vielen Dank! Wir werden die Bedrohung betrachten.

Tatsächlich sind die meisten von der Lage des Service ist klar - wenn die Sicherheitslücke nicht auf den Diebstahl von persönlichen Daten führt / Kontoinformationen / keinen Zugriff auf jede Datenkategorie geben, ist es nicht anfällig.

FIX

In Opera speichert Einstellung Cookie blockiert Websites von Drittanbietern: https://imgd.ru/image/uchm, und wenn es ausgeschaltet ist „alles wird klar.“

via habrahabr.ru/post/312636/