Conveniência superou senhas de segurança ignorando no Facebook

Shutterstock image of no keys needed Nós todos vimos os e-mails ", AMIGO * quer ser seu amigo no Facebook", ou "* AMIGO * comentou sobre o seu estado."

Ao receber estas mensagens há um botão conveniente "Confirmar o pedido de amigo" ou "Ver comentário" embutido na mensagem de e-mail.

Para garantir uma experiência sem atrito, o Facebook foi a incorporação de um identificador de biscoito nos links para que você não precisa fazer o login para o Facebook para confirmar pedidos de amizade e outras mensagens.

Sempre que há um método para contornar um mecanismo de segurança que vai ser abusado e esse recurso não foi excepção.

Segundo a BBC uma mensagem foi enviada para O Hacker News mostrando como identificar mensagens do Facebook que contêm estas ligações secretas usando consultas de pesquisas.

Um engenheiro de segurança do Facebook parecia surpreso que isso aconteceu dizendo à BBC "Para um motor de busca para encontrar esses links, o conteúdo dos e-mails que precisam ter sido publicadas on-line."

Esperemos que esta não é uma notícia, mas e-mails não são seguros nem privado, se você não encriptados.

Esta é a mesma razão que não enviar e-mail de pessoas nosso cartão de crédito e não enviar novas senhas para as pessoas por e-mail. Não é seguro.

Facebook suspendeu a prática, ainda que temporariamente. Vamos esperar que eles sábios e que isso não pode ser feito de forma segura e deixá-lo desativado permanentemente.

A maioria dos usuários a ficar conectado no Facebook e não limpar seus cookies como é, ter um bypass senha por ligação mágica é simplesmente desnecessário.

Facebook disse que as ligações só eram válidos para um clique que estranhamente colocar os usuários que seguem o nosso conselho para não clicar em links em e-mails em maior risco do que aqueles que clicou-los.

Apesar de como esta * fez um trabalho *, não clique em links em e-mails. Esperemos que esta é uma lição para outras organizações que podem ter sido semelhante ignora que permitem a autenticação de parar.

Sem chaves necessárias imagem cortesia do Shutterstock.