ข่าวไอที Blognone » นักวิจัยพบ JavaScript ที่ดึงข้อมูลผู้ใช้จากปลั๊กอิน Login with Facebook ได้, เฟซบุ๊กแก้ไขแล้ว

นักวิจัยพบ JavaScript ที่ดึงข้อมูลผู้ใช้จากปลั๊กอิน Login with Facebook ได้, เฟซบุ๊กแก้ไขแล้ว

20 เมษายน 2018
54   0

นักวิจัยจาก Princeton's Center for Information Technology Policy รายงานการค้นพบ JavaScript ของ 3rd Party ที่ฝังอยู่บนหน้าเว็บไซต์ที่มีปลั๊กอิน Login with Facebook สามารถดึงข้อมูลผู้ใช้และ User ID มาจากเฟซบุ๊ก เสมือนเป็นหน้าเว็บไซต์ (1st Party) นั้น เมื่อผู้ใช้กดล็อกอินผ่านเฟซบุ๊ก

กล่าวอีกอย่างคือเมื่อผู้ใช้ล็อกอินและมอบข้อมูลให้กับเว็บไซต์หนึ่งๆ (1st Party) JavaScript ของ 3rd Party ที่ฝังอยู่ในหน้าเว็บนั้นจะได้รับข้อมูลชุดเดียวกันไปด้วย ซึ่งนักวิจัยระบุว่าเจอสคริปต์ฝังอยู่ในเว็บไซต์ 434 เว็บจากเว็บชั้นนำกว่า 1 ล้านเว็บ โดยนักวิจัยระบุว่าปัญหานี้ไม่ใช่บั๊คในกระบวนการล็อคอินผ่าน API ของเฟซบุ๊ก แต่เป็นปัญหาเรื่องความปลอดภัยและการเขียนสคริปต์บนเว็บ

ด้านเฟซบุ๊กหลักทราบเรื่อง ก็ระงับการเชื่อมต่อระหว่าง User ID กับแอปต่างๆ ไม่ให้ดึงโปรไฟล์และข้อมูลการไลค์เพจบนเฟซบุ๊ก รวมถึงระบุว่าจำกัดลิมิตการเรียกขอข้อมูลโปรไฟล์จากแอปนอก

ที่มา - Freedom to Tinker via TechCrunch, Facebook for Developer

No Description

[source: https://www.blognone.com/node/101644]