O desenvolvedor localiza os principais erros de codificação no Facebook, MySpace

Sites de redes sociais O MySpace e o Facebook aparentemente corrigiram erros de codificação que poderiam permitir que um atacante acessasse todos os dados e fotos de seus usuários.

Os erros de codificação simples são alarmantes, considerando a extensão t

o que as redes sociais passaram a assegurar aos seus usuários que seus dados estarão seguros. O problema envolveu a forma como esses sites lidam com solicitações de dados de outros domínios, conhecidos como "política de domínio cruzado".

Sites como MySpace e Facebook normalmente impedem que outros domínios solicitem e recebam dados por motivos de privacidade. subdomínios próprios vetados.

[Leitura adicional: Como remover malware do seu PC com Windows]

Facebook impediu o acesso de outros aplicativos em seu domínio principal, mas um desenvolvedor na Holanda, Yvo Schaap, descobriu que o Facebook permitiria dados ser dado a partir de um de seus subdomínios.

Como o subdomínio também hospedava todos os dados do Facebook, seria possível roubar dados, atraindo uma vítima para uma URL com um aplicativo Flash manipulado para pegar os dados se a vítima tivesse seu login automático habilitado, o que a maioria das pessoas faz, de acordo com o blog de Schaap.

Um "exploit mais invasivo e oculto poderia coletar todas as fotos, dados e mensagens pessoais do usuário em um servidor central sem qualquer vestígio, e não há razão porque isso já não estaria acontecendo com os dados do Facebook e do MySpace ", escreveu Schaap em seu blog.

Ele também encontrou o problema no MySpace, o que permitiu que um domínio chamado" farm.sproutbuilder.com "acessasse os dados. Um aplicativo Flash poderia ser carregado para esse site, que então teria permissão para acessar os dados se a vítima visitasse um URL malicioso.

Uma olhada no arquivo crossdomain.xml mais recente do Facebook mostra que o bug parece ter sido corrigido. O MySpace também parece ter retirado "farm.sproutbuilder.com" de sua lista de domínios cruzados.

"Nenhum dado privado do MySpace foi exposto e a vulnerabilidade nunca foi explorada", dizia a declaração.