Arreglos Facebook, Salir de la aplicación, y ke dejen de seguirnos.

Publicado: 18 julio, 2012 en Informática, Noticias de interés general, seguridad informática

Arreglos Facebook, Salir de la aplicación, y ke dejen de seguirnos. explicación de las  cookies

27 de septiembre 2011 #

Yo escribí un post hace dos días por cuestiones de privacidad de Facebook con el procedimiento de cierre de sesión que podría llevar a sus peticiones web posteriores a sitios de terceros que se integran widgets de Facebook de ser identificada y vinculada a su cuenta real. En el transcurso de las últimas 48 horas desde que el post ha sido publicado, hemos investigado la cuestión y han estado en contacto constante con Facebook en la elaboración de soluciones y aclarar el comportamiento en el sitio.

Mi objetivo era identificar los errores tanto en el proceso de cierre de sesión y ver que son fijos, y para comunicarse con Facebook en conseguir algunas de las preguntas sin respuestas contestadas de manera que el uso de Facebook pública puede estar informado de cómo se utilizan las cookies en el sitio – especialmente en relación con las solicitudes de terceros.

En resumen, Facebook ha realizado cambios en el proceso de cierre de sesión y han explicado que cada parte del proceso y las cookies que el sitio utiliza en detalle.

Los datos

Para ayudar a entender mejor los datos de la cookie que hemos recopilado, lo he formateado en una tabla que muestra la vida de cada galleta en una serie de peticiones web diferentes. La tabla se puede encontrar en unapágina separada aquí . Usted puede encontrar la salida en bruto de mi sesión de Firefox aquí .

Las filas de la tabla representan cada galleta encuentra en toda la sesión de depuración. La primera columna es el nombre de la galleta. Cada columna posterior muestra cómo el valor de la galleta se alteró (o no) a lo largo de las solicitudes de página siguientes cuatro:

  1. Una sesión en la solicitud de facebook.com
  2. Una petición a la ‘desconexión’ de acción dentro de Facebook
  3. La solicitud inmediata de la página principal de Facebook
  4. Una petición con posterioridad a la página principal de Facebook después de reiniciar el navegador

La mesa es un código de color para que sea más fácil ver que las cookies son alterados y que las cookies no cambian nunca. Los datos muestran que cinco galletas retener el valor después de que el procedimiento de cierre de sesión y reiniciar el navegador, mientras que otros dos sobreviven al procedimiento de cierre de sesión y se mantienen como las cookies de sesión.

La solución

Los cinco galletas que persisten son datr , lu , p , L y el act . Los dos galletas que persisten después de que el procedimiento de cierre de sesión son las cookies de sesión a_user y a_xs .

El más importante de ellos es a_user , que es el ID de los usuarios. A partir de hoy, esta cookie es ahora destruido al salir. Facebook tuvo que decir lo siguiente acerca de la a_user cookie:

Lo que se ve en su navegador es en gran medida típica, excepto a_user que es menos común y debe ser limpiado al salir del juego (que se encuentra en algunas páginas de fotos de subida).Hay un error en el que a_user no se aclaró en el cierre de sesión. Vamos a fijar que en la actualidad.

El otro ‘a’ cookie, a_xs , ahora también se elimina al salir. a_xs se utiliza para prevenir la falsificación de páginas web de petición.

Las cookies Otros

Esto deja un número de cookies de otros, y voy a estar explicando el propósito de cada uno de acuerdo con la información de Facebook.

El datr cookie se establece cuando un navegador visita por primera vez facebook.com. El propósito de la misma, como por Facebook, es:

Hemos establecido el ‘datr’ cookie cuando un navegador accede a facebook.com (excepto iframes plugins sociales), y la cookie nos ayuda a identificar la actividad de inicio de sesión sospechosa y mantener a los usuarios a salvo. Por ejemplo, lo usamos para señalar actividades cuestionables como los intentos de conexión fallidos y los intentos de crear múltiples cuentas de correo electrónico no deseado.

El lu galletas también se establece la primera vez que un navegador visita facebook.com y se utiliza paraidentificar el navegador antes de llenar la dirección de correo electrónico a los usuarios en el formulario de acceso. El propósito de la misma, como por Facebook de nuevo, es:

el ‘lu’ cookie ayuda a proteger a las personas que usan computadoras de uso público. Los datos que contiene se utiliza para hacer cambios sutiles en la forma de inicio de sesión, como por ejemplo cargar previamente su correo electrónico y desmarcando la opción “Keep me logged in” opción si se detecta que varios usuarios iniciar sesión con el mismo navegador. Si cierra la sesión, la cookie no contiene su identificador de usuario y Facebook no prellenado el campo de correo electrónico.

Estas cookies, por el mismo propósito que sirven, identificar de forma exclusiva el navegador que se utiliza – incluso después de cerrar la sesión. Como usuario, usted tiene que tomar en Facebook en su palabra que la finalidad de dichas cookies es sólo para lo que se está describiendo. El anterior a_user cookie que se fijó identificado a su cuenta de usuario y se ha corregido, estas cookies identificar el navegador y no se vuelven a asociarse con su sesión en la cuenta.

La mayoría de las galletas restantes no son muy interesantes – que poner las cosas como el idioma de su navegador y las dimensiones del dispositivo. La galleta más interesante, para mí (después de que el identificador de usuario, obviamente), fue act . Los valores de esta cookie para las solicitudes que fueron registrados 1316962370811/2; y 1316972790935/11; y 1317032073811/0; . Se trata de una marca de tiempo para cada solicitud, en milisegundos desde la época UNIX (1 de enero de 1970). Lo que me interesaba era que no sólo era la fecha y hora exacta de milisegundos (milésimas de segundo ie.), pero que un número adicional se están añadiendo a la misma. Mi instinto fue que el número adicional (es decir, la / 11, / 0 y 2 / en los exaples) estaba siendo agregado para hacer la marca de tiempo único para cada petición. Facebook confirmó lo siguiente:

Es un contador monótonamente creciente de las acciones desde el inicio de sesión. Mientras que compartimos, esto es para la recogida de datos de rendimiento – nada más.

Entiendo que la razón técnica para ello – que pueden almacenar la fecha y hora como una clave principal en su back-end de registro y no tiene que asociar la evaluación comparativa de cada solicitud de nuevo a un usuario.Creo que Facebook aquí cuando dicen que si bien este es un identificador único que no se utiliza para vincular de nuevo a un nombre de usuario – pero es, sin duda que se registra y puede ser asociada a un usuario.

¿Dónde está ahora

Facebook ha cambiado tanto como se puede cambiar con el tema de cierre de sesión. Quieren conservar la posibilidad de realizar un seguimiento de los exploradores después de salir de la seguridad y con fines de spam, y quieren ser capaces de registrar las peticiones de páginas por razones de rendimiento, etc aun así, recomendaría que las cookies de los usuarios claras o usar un navegador, sin embargo. Creo que Facebook cuando describen lo que estas cookies se utilizan para, pero eso no es una razón para ser complacientes en cuestiones de privacidad y tomar la iniciativa en la que queda a salvo.

He descubierto un montón de otros temas y áreas de interés para una investigación más maduros, mientras que la investigación de la cookie de cierre de sesión cuestión – y voy a tomar cada una de ellas en el blog aquí en un futuro próximo.

Debo agradecer a Gregg Stefancik, un ingeniero de Facebook, que extendió la mano (y también dejó la “oficial” de Facebook como respuesta a un comentario en el post anterior) y que trabajó con nosotros en este tema. Gracias también a otros ingenieros de Facebook que se acercaron. Por mi parte Ashkan Soltani y Brian Kennish (autor de la excelente desconexión plugins del navegador que cada usuario debe estar en ejecución) fueron de gran valor con el suministro de pruebas, el asesoramiento y los conjuntos adicionales de los ojos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s