ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全新闻 → Facebook漏洞赏金计划 针对第三方应用程序

Facebook漏洞赏金计划 针对第三方应用程序

时间:2018-09-20 00:00:00人气:作者:本站作者我要评论

Facebook漏洞赏金计划 针对第三方应用程序

为了增加登录便捷性,提升用户黏性,第三方网站或应用使用常用社交账号登录的方式早已屡见不鲜,但这也同时意味着部分信息会被共享。尽管人们对此司空见惯,但仍有不少人对共享信息安全性表示担忧。令人欣慰的是,已有社交巨头开始注意这一问题。

周一,Facebook宣布更新bug赏金计划,此次更新目的是防止令牌通过第三方应用程序的安全漏洞泄露。访问令牌是用于标识唯一用户和用户权限的凭据,并允许用户使用Facebook登录另一个应用程序。用户可以决定令牌和应用程序可以访问哪些信息以及可以采取的操作。

这个计划是Facebook在被隐私丑闻笼罩后,希望向用户展示致力于维护数据安全形象所推出的新措施。它没有时间限制,任何人都可以参与,并且涵盖了与可能因网络安全漏洞泄露用户信息的应用和网站。Facebook的安全工程经理Dan Gurfinkel表示,“如果令牌暴露,可能会遭到滥用。我们希望研究人员有明确的渠道来报告这些重要问题,尽自己的力量来保护用户信息,即使错误的来源不在我们的直接控制之下。”

计划对于报告Bug行为有严格规定:参与报告者不得在应用网站或程序上使用SQL注入(代码注入技术),XSS(跨站点脚本),开放重定向或权限绕过漏洞(例如不安全的直接对象引用漏洞)等超出限定范围的方式。研究人员不能从Facebook账户以外的任何账户访问数据或使用任何访问令牌。赏金计划起效范围为5万以上活跃用户的程序或网站等。

总体来说,赏金计划的社会反响较为积极。研究员Edwin Foudi对Facebook最新的赏金努力表示肯定。尽管经常检查代码库和源代码存储库以获取访问令牌,但他很少看到漏洞赏金项目会想方设法保护第三方应用程序,并承认依赖于访问Facebook的应用程序也是Facebook攻击界面的一部分。有政策和法律问题专家认为“这是一个富有洞察力的举动,Facebook意识到了监管机构(和用户)将要求平台对第三方缺乏安全和隐私做法负责。”

相关文章

猜你喜欢

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

本类推荐

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网