This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Conveniência superou senhas de segurança ignorando no Facebook

Filed Under: Facebook, Featured, Privacy, Vulnerability

Shutterstock image of no keys needed Nós todos vimos os e-mails ", AMIGO * quer ser seu amigo no Facebook", ou "* AMIGO * comentou sobre o seu estado."

Ao receber estas mensagens há um botão conveniente "Confirmar o pedido de amigo" ou "Ver comentário" embutido na mensagem de e-mail.

Para garantir uma experiência sem atrito, o Facebook foi a incorporação de um identificador de biscoito nos links para que você não precisa fazer o login para o Facebook para confirmar pedidos de amizade e outras mensagens.

Sempre que há um método para contornar um mecanismo de segurança que vai ser abusado e esse recurso não foi excepção.

Segundo a BBC uma mensagem foi enviada para O Hacker News mostrando como identificar mensagens do Facebook que contêm estas ligações secretas usando consultas de pesquisas.

Um engenheiro de segurança do Facebook parecia surpreso que isso aconteceu dizendo à BBC "Para um motor de busca para encontrar esses links, o conteúdo dos e-mails que precisam ter sido publicadas on-line."

Esperemos que esta não é uma notícia, mas e-mails não são seguros nem privado, se você não encriptados.

Esta é a mesma razão que não enviar e-mail de pessoas nosso cartão de crédito e não enviar novas senhas para as pessoas por e-mail. Não é seguro.

Facebook suspendeu a prática, ainda que temporariamente. Vamos esperar que eles sábios e que isso não pode ser feito de forma segura e deixá-lo desativado permanentemente.

A maioria dos usuários a ficar conectado no Facebook e não limpar seus cookies como é, ter um bypass senha por ligação mágica é simplesmente desnecessário.

Facebook disse que as ligações só eram válidos para um clique que estranhamente colocar os usuários que seguem o nosso conselho para não clicar em links em e-mails em maior risco do que aqueles que clicou-los.

Apesar de como esta * fez um trabalho *, não clique em links em e-mails. Esperemos que esta é uma lição para outras organizações que podem ter sido semelhante ignora que permitem a autenticação de parar.

Sem chaves necessárias imagem cortesia do Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.