Pemaju Menemukan Kesilapan Pengkodan Utama di Facebook, MySpace

Laman rangkaian sosial MySpace dan Facebook telah membetulkan ralat pengekodan yang mungkin membenarkan akses penyerang kepada semua data dan gambar pengguna mereka.

Kesalahan pengekodan mudah membimbangkan memandangkan tahap

o yang mana rangkaian sosial telah pergi untuk meyakinkan pengguna mereka bahawa data mereka akan selamat. Masalahnya melibatkan cara laman web tersebut mengendalikan permintaan untuk data dari domain lain, yang dikenali sebagai "dasar silang domain."

Sites seperti MySpace dan Facebook biasanya menyekat domain lain daripada meminta dan menerima data atas sebab privasi, kecuali untuk mereka

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Facebook tidak membenarkan akses dari aplikasi lain di domain utamanya, tetapi pemaju di Belanda, Yvo Schaap, mendapati bahawa Facebook akan membenarkan data untuk diberikan dari salah satu subdomainnya.

Oleh kerana subdomain juga menjadi tuan rumah semua data Facebook, mungkin akan mencuri data dengan memikat mangsa ke URL dengan aplikasi Flash yang dicampur untuk merebut data jika korban telah

A "eksploitasi yang lebih invasif dan tersembunyi dapat menuai semua foto, data dan mesej peribadi pengguna ke pelayan pusat tanpa sebarang jejak, dan tidak ada alasan kenapa ini Ia tidak akan berlaku dengan kedua-dua data Facebook dan MySpace, "tulis Schaap di blognya.

Ia juga mendapati masalah di MySpace, yang membolehkan domain bernama" farm.sproutbuilder.com "untuk mengakses data. Aplikasi Flash boleh dimuat naik ke laman web tersebut, yang kemudiannya akan dibenarkan mengakses data jika mangsa melawat URL yang berniat jahat.

Melihat fail crossdomain.xml terbaru Facebook menunjukkan bahawa bug itu kelihatan telah ditetapkan. MySpace juga kelihatan telah mengambil "farm.sproutbuilder.com" daripada senarai domain silangnya.

"Tidak ada data MySpace peribadi terdedah dan kerentanan tidak pernah dieksploitasi," pernyataan itu dibaca.