Re: [-GC-] baidudl套件 窃取Facebook帐号token

楼主: eight0 (欸XD)   2018-05-09 02:51:48
回复推文︰
> Token这样拿会让他们有办法在其他地方登入吗?
我不清楚 Facebook 的机制,但一般来说很有可能。
理想中,网站会对这类登入问题做其它防范,例如︰
* 过一段时间后 Token 失效。
* 换浏览器后 Token 失效,也就是比较 User-Agent。(例︰Instagram)
* 换 IP 后 Token 失效。
* 换地区后 Token 失效。类似前者,但在同一个地区内换 IP 还是能保持登入。
> 扩充元件要拿到使用者登入网站的权限都是这么容易的吗?
容易程度大概和下图相当︰
https://i.imgur.com/gMDvWpx.png
即使无法用 Token 登入,它也是隐私资料之一。这个附加元件相当于你一开
Facebook(包括随处可见的 FB 广告、点赞按钮……等等),就会向
truepush.com 报告你的 userid + access_token。所以不要认为 Facebook
有防范机制就没问题。
作者: doom3 (ⓓⓞⓞⓜ③ )   2018-05-09 08:43:00
作者: sdbb (帮我泡杯卡布奇诺)   2018-05-09 12:35:00
有看有推
作者: Drowners (...)   2018-05-09 23:35:00
作者: zhtw (人生就是不停的后悔。。)   2018-05-10 12:31:00
作者自己对那套件做了分析..https://imgur.com/j8RfxqK.png

Links booklink

Contact Us: admin [ a t ] ucptt.com