PTT數位生活區 / Browsers (瀏覽器)

Re: [-GC-] baidudl套件 竊取Facebook帳號token

看板Browsers (瀏覽器)作者 (人類)時間7年前 (2018/05/09 02:51), 編輯推噓4(400)
留言4則, 4人參與, 7年前最新討論串2/2 (看更多)
回覆推文︰ > Token這樣拿會讓他們有辦法在其他地方登入嗎? 我不清楚 Facebook 的機制,但一般來說很有可能。 理想中,網站會對這類登入問題做其它防範,例如︰ * 過一段時間後 Token 失效。 * 換瀏覽器後 Token 失效,也就是比較 User-Agent。(例︰Instagram) * 換 IP 後 Token 失效。 * 換地區後 Token 失效。類似前者,但在同一個地區內換 IP 還是能保持登入。 > 擴充元件要拿到使用者登入網站的權限都是這麼容易的嗎? 容易程度大概和下圖相當︰ https://i.imgur.com/gMDvWpx.png
即使無法用 Token 登入,它也是隱私資料之一。這個附加元件相當於你一開 Facebook(包括隨處可見的 FB 廣告、點讚按鈕……等等),就會向 truepush.com 報告你的 userid + access_token。所以不要認為 Facebook 有防範機制就沒問題。 -- ヾ(;ω;) ヾ(;ω;) http://i.imgur.com/oAd97.png
-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.225.201.18 ※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1525805512.A.E86.html
05/09 08:43, 7年前 , 1F
05/09 08:43, 1F
05/09 12:35, 7年前 , 2F
有看有推
05/09 12:35, 2F
05/09 23:35, 7年前 , 3F
05/09 23:35, 3F
05/10 12:31, 7年前 , 4F
作者自己對那套件做了分析..https://imgur.com/j8RfxqK.png
05/10 12:31, 4F
更多 eight0 的文章
文章代碼(AID): #1QyV78w6 (Browsers)
Browsers 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 eight0 的文章
文章代碼(AID): #1QyV78w6 (Browsers)