Re: [-GC-] baidudl套件 竊取Facebook帳號token

作者: eight0 (欸XD)   2018-05-09 02:51:48
回覆推文︰
> Token這樣拿會讓他們有辦法在其他地方登入嗎?
我不清楚 Facebook 的機制,但一般來說很有可能。
理想中,網站會對這類登入問題做其它防範,例如︰
* 過一段時間後 Token 失效。
* 換瀏覽器後 Token 失效,也就是比較 User-Agent。(例︰Instagram)
* 換 IP 後 Token 失效。
* 換地區後 Token 失效。類似前者,但在同一個地區內換 IP 還是能保持登入。
> 擴充元件要拿到使用者登入網站的權限都是這麼容易的嗎?
容易程度大概和下圖相當︰
https://i.imgur.com/gMDvWpx.png
即使無法用 Token 登入,它也是隱私資料之一。這個附加元件相當於你一開
Facebook(包括隨處可見的 FB 廣告、點讚按鈕……等等),就會向
truepush.com 報告你的 userid + access_token。所以不要認為 Facebook
有防範機制就沒問題。
作者: doom3 (ⓓⓞⓞⓜ③ )   2018-05-09 08:43:00
作者: sdbb (幫我泡杯卡布奇諾)   2018-05-09 12:35:00
有看有推
作者: Drowners (...)   2018-05-09 23:35:00
作者: zhtw (人生就是不停的後悔。。)   2018-05-10 12:31:00
作者自己對那套件做了分析.." target="_blank" rel="nofollow">

Links booklink

Contact Us: admin [ a t ] ucptt.com