Facebook漏洞赏金计划 针对第三方应用程序

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

Facebook漏洞赏金计划 针对第三方应用程序

为了增加登录便捷性,提升用户黏性,第三方网站或应用使用常用社交账号登录的方式早已屡见不鲜,但这也同时意味着部分信息会被共享。尽管人们对此司空见惯,但仍有不少人对共享信息安全性表示担忧。令人欣慰的是,已有社交巨头开始注意这一问题。

周一,Facebook宣布更新bug赏金计划,此次更新目的是防止令牌通过第三方应用程序的安全漏洞泄露。访问令牌是用于标识唯一用户和用户权限的凭据,并允许用户使用Facebook登录另一个应用程序。用户可以决定令牌和应用程序可以访问哪些信息以及可以采取的操作。

这个计划是Facebook在被隐私丑闻笼罩后,希望向用户展示致力于维护数据安全形象所推出的新措施。它没有时间限制,任何人都可以参与,并且涵盖了与可能因网络安全漏洞泄露用户信息的应用和网站。Facebook的安全工程经理Dan Gurfinkel表示,“如果令牌暴露,可能会遭到滥用。我们希望研究人员有明确的渠道来报告这些重要问题,尽自己的力量来保护用户信息,即使错误的来源不在我们的直接控制之下。”

计划对于报告Bug行为有严格规定:参与报告者不得在应用网站或程序上使用SQL注入(代码注入技术),XSS(跨站点脚本),开放重定向或权限绕过漏洞(例如不安全的直接对象引用漏洞)等超出限定范围的方式。研究人员不能从Facebook账户以外的任何账户访问数据或使用任何访问令牌。赏金计划起效范围为5万以上活跃用户的程序或网站等。

总体来说,赏金计划的社会反响较为积极。研究员Edwin Foudi对Facebook最新的赏金努力表示肯定。尽管经常检查代码库和源代码存储库以获取访问令牌,但他很少看到漏洞赏金项目会想方设法保护第三方应用程序,并承认依赖于访问Facebook的应用程序也是Facebook攻击界面的一部分。有政策和法律问题专家认为“这是一个富有洞察力的举动,Facebook意识到了监管机构(和用户)将要求平台对第三方缺乏安全和隐私做法负责。”

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: