This page has been robot translated, sorry for typos if any. Original content here.

Jede Site kann Informationen darüber erhalten, zu welchen beliebten Diensten Sie berechtigt sind

Entwickler Robin Linus auf seiner Seite auf GitHub Pages (der Besuch des folgenden Links ist unsicher und wird vom Arbeitsplatz aus nicht empfohlen, da die Seite zusätzlich zu dem sichtbaren Teil der Dienste überprüft, ob Sie auf nicht jugendfreien Websites angemeldet sind. Dies wird in den Firewall-Protokollen gespeichert, um zu versuchen, fortzufahren ) demonstriert, wie Websites Ihnen einen „Medienfingerabdruck“ abnehmen können, das heißt, Aufzeichnungen darüber, bei welchen beliebten Diensten die Besucher angemeldet sind, auch ohne jegliche Berechtigung auf der besuchten Seite.

Für den Autor der Veröffentlichung lautet der „Medienfingerabdruck“ wie folgt und ist absolut richtig:

Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы

Und das ist sehr unangenehm.

Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы

Was ist das Wesentliche?

Zunächst erklärt der Autor des Hinweises, wie die Umleitung zum Autorisierungsfenster erfolgt.

Wenn wir dem Link https://www.facebook.com/bookmarks/pages im Inkognito-Modus folgen, werden wir automatisch zum Autorisierungsbildschirm umgeleitet:

  https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Fbookmarks%2Fpages 

Achten Sie auf den zweiten Teil des Links des Formulars:

  https% 3A% 2F% 2Fwww.facebook.com% 2Fbookmarks% 2Fpages 

Dies ist die URL, die uns zurückgibt, nachdem wir den Facebook-Anmeldevorgang durchlaufen haben. Wenn wir diese URL verwenden, um auf die Autorisierungsseite umzuleiten, wenn wir bereits auf der Site autorisiert sind, werden wir sofort zu Lesezeichen / Seiten wechseln .

Noch einmal:

  • Wenn wir nicht angemeldet sind und zu https://% 3A% 2F% 2Fwww.facebook.com% 2Fbookmarks% 2Fpages gehen, gelangen wir zum Autorisierungsfenster.
  • Wenn wir angemeldet sind, werden wir sofort auf den gleichen Link unter https://www.facebook.com/bookmarks/pages zugreifen.

Es scheint, dass alles logisch ist.

Die Politik großer Ressourcen wie Facebook erlaubt es nicht, die Daten der Anfrage selbst zu erhalten, weil Die Verbindung erfolgt über HTTPS. Wir können jedoch jedes Bild von der Domain erhalten, wenn wir in login.php? Next = einen Link dazu bereitstellen. Natürlich können Sie keine Fotos von FB abrufen, da das soziale Netzwerk fast alle Bilder auf fbcdn.net speichert. Sie können jedoch auf das Facebook-Logo "klopfen" - favicon.ico:

  https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Ffavicon.ico 

Und auf der Site selbst maskieren Sie dies durch das img-Tag wie folgt:

  <img src = "https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Ffavicon.ico"> 

Es sieht so aus: Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы

Wenn Sie oben ein solches FB-Symbol gesehen haben ( Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы ), herzlichen glückwunsch, wir haben gerade dafür gesorgt, dass du bei Facebook eingeloggt bist (check). Wenn Sie nichts gesehen haben oder das Bild nicht geladen wurde, geben Sie das entsprechende Symbol zurück ( Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы ), dann sind Sie bei Facebook dementsprechend nicht eingeloggt .

Die endgültige Ausnutzung dieser Sicherheitsanfälligkeit erfolgt wie folgt:

  <img onload = "alert ('in fb angemeldet')" onerror = "alert ('in fb nicht angemeldet')" src = "https://www.facebook.com/login.php?next=https% 3A% 2F% 2Fwww.facebook.com% 2Ffavicon.ico "> 

Mithilfe dieser einfachen Manipulationen mit Symbolen können Sie Informationen darüber sammeln, welche Dienste das Publikum der Website ohne dessen Wissen nutzt. Dieser Mechanismus funktioniert für fast alle wichtigen Webdienste, da alle ihre Symbole in der Hauptdomäne speichern.

Diese Sicherheitsanfälligkeit kann als eine der Phasen anderer Arten von Angriffen verwendet werden, z. B. ClickJacking oder ProfileJacking .

Serviceantwort

Das Problem, Zugang zu Informationen darüber zu erhalten, welche anderen Dienste eine Person nutzt, ist seit langem bekannt, wird jedoch von den meisten Unternehmen ignoriert. Hier sind die Antworten, die Robin auf seine Fehlerberichte von einer Reihe von wichtigen Diensten und sozialen Plattformen erhalten hat.

Facebook:

Vielen Dank für Ihren Kontakt. Dieses Problem wurde mit dem Facebook-Sicherheitsteam besprochen und dieser Fehler kann nicht am Bug Bounty-Programm teilnehmen. Es gilt nicht für einen bestimmten Facebook-Nutzer. Die Möglichkeit, herauszufinden, wo der Benutzer, der sich auf der Site angemeldet hat, autorisiert ist, stellt kein Sicherheitsrisiko dar. In jedem Fall haben wir uns über Ihren Bericht gefreut und freuen uns auf weitere Fehlermeldungen von Ihnen.

Twitter:

Vielen Dank für Ihren Bericht. Das sieht natürlich interessant aus, aber ich sehe nicht, wie dieses Problem die Sicherheit von Twitter und seinen Nutzern gefährden kann. Daher befürchte ich, dass dieses Problem als abgeschlossen betrachtet werden kann und nicht für sich beansprucht werden kann, am Bug Bounty-Programm teilzunehmen. Vielen Dank für Ihre Twitter-Sicherheitsbedenken.

Yahoo:

Vielen Dank für Ihre Kontaktaufnahme. Dies ist ein bekanntes Problem, das Emeria Grossman bereits erwähnt hat . Wir werden uns überlegen, wie wir es in Zukunft lösen können.

Quadrat:

Vielen Dank für Ihre Kontaktaufnahme. Wir sind zu dem Schluss gekommen, dass dieses Problem ein minimales Risiko darstellt und daher keine Änderungen am Code vorgenommen werden, um es zu lösen.

Dropbox:

Vielen Dank! Wir werden diese Bedrohung berücksichtigen.

Tatsächlich ist die Position der meisten Dienste klar - wenn die Sicherheitsanfälligkeit nicht zum Diebstahl personenbezogener Daten / Kontodaten führt / keinen Zugriff auf eine Kategorie von Daten ermöglicht, ist dies keine Sicherheitsanfälligkeit.

Fix

In Opera wird durch die Einstellung zum Blockieren von Cookies auf Websites von Drittanbietern Folgendes gespeichert : https://imgd.ru/image/uchm . Wenn diese Option deaktiviert ist, wird "alles klar".

Via habrahabr.ru/post/312636/