作者eight0 (人類)
看板Browsers
標題Re: [-GC-] baidudl套件 竊取Facebook帳號token
時間Wed May 9 02:51:48 2018
回覆推文︰
> Token這樣拿會讓他們有辦法在其他地方登入嗎?
我不清楚 Facebook 的機制,但一般來說很有可能。
理想中,網站會對這類登入問題做其它防範,例如︰
* 過一段時間後 Token 失效。
* 換瀏覽器後 Token 失效,也就是比較 User-Agent。(例︰Instagram)
* 換 IP 後 Token 失效。
* 換地區後 Token 失效。類似前者,但在同一個地區內換 IP 還是能保持登入。
> 擴充元件要拿到使用者登入網站的權限都是這麼容易的嗎?
容易程度大概和下圖相當︰
https://i.imgur.com/gMDvWpx.png
即使無法用 Token 登入,它也是隱私資料之一。這個附加元件相當於你一開
Facebook(包括隨處可見的 FB 廣告、點讚按鈕……等等),就會向
truepush.com 報告你的 userid + access_token。所以不要認為 Facebook
有防範機制就沒問題。
--
ヾ(;ω;) ヾ(;ω;)
http://i.imgur.com/oAd97.png
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.225.201.18
※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1525805512.A.E86.html
推 doom3: 推 05/09 08:43
推 sdbb: 有看有推 05/09 12:35
推 Drowners: 推 05/09 23:35