05/11/2007 18:18
Не успела компания Google завершить все презентации нового инструмента
для внедрения различных интерактивных компонентов OpenSocial, как первые
инструменты тут же пришлось блокировать из-за того, что они были взломаны
буквально за 45 минут. Система OpenSocial предоставляет разработчикам стандартизированные
программные элементы, при помощи которых можно будет довольно быстро создавать
веб-приложения и встраивать их во многие существующие на сегодня популярные
социальные сети или иные проекты. Основная задача выпуска OpenSocial увести
какую-то часть пользователей сервиса Facebook, пользующихся подобными инструментами
в другие проекты. При помощи первого же стороннего приложения, созданного
на базе системы OpenSocial оказалось, что хакеры смогут получить полную
информацию о профилях пользователей, зарегистрированных в той же социальной
сети. По счастливой случайности приложение было развернуто на относительно
непопулярном сервисе блогов и Web2.0-компонентов Plaxo. После развертывания
приложения на OpenSocial пользователь под ником HarmonyGuy выслал администрации
сервиса информацию о серьезной уязвимости в системе, в качестве подтверждения
своих слов он приложил к письму полные данные других пользователей. Администрация
Plaxo тут же закрыла указанное приложение, оповестила об этом пользователей
и саму Google. По словам HarmonyGuy, OpenSocial API создана таким образом,
что данный баг, с его точки зрения, является далеко не последним. На сегодня
помимо сервиса Plaxo OpenSocial API также развернута и на более популярных
сервисах, таких как Engage.com, Friendster, LinkedIn, MySpace, Oracle, orkut
и Salesforce.com
Оригинал (на 05/11/2007): cybersecurity.ru
В случае обнаружения неточностей или ошибок просим Вас сообщить об этом по адресу
|