Szukaj
Newsletter
Luka w kodzie JavaScript Facebooka
Wraz z wprowadzeniem nowego wyglądu fanpage'ów (Facebook Pages), Facebook wprowadził też ważne zmiany w sposobie ich tworzenia. Firma Trend Micro wykryła jednak niedopatrzenie ze strony społecznościowego portalu.
Wcześniej zakładki do tych stron były tworzone na dwa sposoby. Pierwszy, oparty na aplikacji Facebook FBML, umożliwiał ich tworzenie za pomocą statycznego języka FBML (Facebook Markup Language) lub HTML, co było bardzo proste i nie wymagało dużej wiedzy. Drugi sposób polegał na dodaniu niestandardowej aplikacji Facebooka do standardowej zakładki FBML, tak aby aplikacja ta mogła zażądać danych zewnętrznych od strony trzeciej i wyświetlić je w zakładce. Treść takich zakładek podlegała jednak wielu ograniczeniom technicznym i była w całości proksowana przez Facebooka, co utrudniało wiele zadań, np. śledzenie pikseli lub wykonywanie funkcji JavaScript i Flash.
Wprowadzone zmiany polegają na tym, że teraz można włączać ramki iframes bezpośrednio do aplikacji Facebooka na zakładkach stron, co pozwala uniknąć proksowania.
Według Rika Fergusona, starszego doradcy ds. bezpieczeństwa w Trend Micro, zmiana ta ucieszy programistów działających zgodnie z prawem, ale niestety ułatwi również życie tym, którzy nie mają dobrych intencji.
Teraz można skonfigurować stronę Facebooka, utworzyć domyślną zakładkę docelową (tą, którą widać jako pierwszą po otwarciu strony) i dodać do niej aplikację zawierającą ramkę iframe. Ramka iframe może zawierać np. kod JavaScript, który natychmiast i bez interakcji kieruje użytkownika na wybraną stronę.
"Strona ta może zawierać fałszywy program antywirusowy lub zestaw exploita, który tylko czeka, aby niepostrzeżenie zainfekować komputer szkodliwym oprogramowaniem. Przestępca nie musi już przygotowywać ataków typu likejacking wywoływanych kliknięciem przycisku Like (Lubię to!), ani też przekonywać użytkownika do zainstalowania aplikacji. Może bardzo łatwo sprawić, że użytkownik sam odwiedzi szkodliwą stronę, co uruchomi łańcuch zdarzeń prowadzących do zainfekowania komputera i wykorzystania go w celach przestępczych. Oczywiście Facebook prosi swoich programistów o akceptację kodeksu postępowania, który zakazuje takich działań, ale w przypadku przestępców można to porównać do odebrania prawa jazdy złodziejowi samochodów" - ostrzega Ferguson.
Trend Micro o luce w nowych funkcjach poinformowało Facebooka. O nowym wyglądzie Facebook Pages więcej można przeczytać tutaj (więcej na ten temat).
polecamy
Polacy skarżą się na Viaplay. Co zrobi UOKiK?Była dziennikarka TVP ma autorski program w Kanale ZeroYoutuberzy ciekawsi od podróżników z tv? „Poczucie, że oglądamy kogoś znajomego” Polacy krócej na Disney+ i HBO Max. Player i Polsat Box Go z dużymi wzrostami"Sejmflix" już nie grzeje. Jaka oglądalność debaty o aborcji?Sukces Kanału Zero. "Ewolucja, ale nie rewolucja"najpopularniejsze
Z TV Republika odszedł akcjonariusz. Handlował akcjami spółki pracującej dla Orlenu 
Nie ma stacji z meczami PKO BP Ekstraklasy? Canal+ odsyła do operatorów 
Viaplay zacieśnia współpracę z Canal+ 
Didaskalia TV już nadaje. Kolejny darmowy kanał po polsku 
Wojciech Mann wraca do „Szansy na sukces”. W reklamie z Dawidem Podsiadło
Dołącz do dyskusji: Luka w kodzie JavaScript Facebooka