Cierre de sesión de Facebook no es suficiente

Publicado: 18 julio, 2012 en Informática, Noticias de interés general, por alusiones, seguridad informática

Cierre de sesión de Facebook no es suficiente

25 de septiembre 2011 #

Actualización importante: Facebook ha respondido y emitió una solución para este problema. Vea elseguimiento de entrada en el blog “Arreglos Facebook Salir de emisión, explica cookies”

Dave Winer escribió un artículo a tiempo esta mañana acerca de cómo Facebook se está asustando ya que la nueva API permite a las aplicaciones para publicar artículos de estado para su línea de tiempo de Facebook sin intervención del usuario. Es una extensión de Facebook al instante y lo llaman el intercambio sin fricciones. La preocupación por la privacidad aquí es que porque usted ya no tiene que pedirlo explícitamente opt-in para compartir un artículo, puede que accidentalmente compartir una página o un evento que no tenía la intención de que otros puedan ver.

El consejo es salir de Facebook. Sin embargo, la sesión en Facebook sólo desautoriza su navegador desde la aplicación web, un número de cookies (incluyendo su número de cuenta) se siguen enviando a lo largo de todas las solicitudes a facebook.com . Incluso si usted está desconectado, Facebook todavía sabe y puede realizar un seguimiento de cada página que visitas que tiene Facebook integrado. La única solución es eliminar todas las cookies de Facebook en su navegador, o usar un navegador diferente para las interacciones de Facebook.

Esto es lo que está sucediendo, como se ve por las cabeceras HTTP de las peticiones a facebook.com . En primer lugar, una petición normal a la interfaz web como usuario registrado envía las cookies siguientes:

Nota: Lo he eludieron los valores de cada galleta y se añade la línea de abrigos para la legibilidad

 Cookie: datr=tdnZTOt21HOTpRkRzS-6tjKP; lu=ggIZeheqTLbjoZ5Wgg; openid_p=101045999; c_user=500011111; sct=1316000000; xs=2%3A99105e8977f92ec58696cf73dd4a32f7; act=1311234574586%2F0 

La solicitud a la función de cierre de sesión a continuación, verá esta respuesta desde el servidor, que está tratando de desarmar las siguientes cookies:

 Set-Cookie: _e_fUJO_0 =deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly c_user =deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly fl =1; path=/; domain=.facebook.com; httponly L =2; path=/; domain=.facebook.com; httponly locale =en_US; expires=Sun, 02-Oct-2011 07:52:33 GMT; path=/; domain=.facebook.com lu =ggIZeheqTLbjoZ5Wgg; expires=Tue, 24-Sep-2013 07:52:33 GMT; path=/; domain=.facebook.com; httponly s =deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly sct =deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly W =1316000000; path=/; domain=.facebook.com xs =deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/; domain=.facebook.com; httponly 

Para que sea más fácil ver las cookies que son sin definir, los nombres están en cursiva. Si se comparan las cookies que se han establecido en una sesión en la solicitud, y compararlas con las cookies que se desconectan en la solicitud de cierre de sesión, usted verá rápidamente que hay un número de cookies que no están siendo eliminados, y hay dos cookies propios de la configuración regional y lu) que sólo se están dando nuevas fechas de vencimiento, y tres galletas nuevos (W, FL, L) que se establezcan.

Ahora puedo hacer una solicitud con posterioridad a facebook.com como ‘desconectado’ de usuario:

 Cookie: datr =tdnZTOt21HOTpRkRzS-6tjKP; openid_p =101045999; act =1311234574586%2F0; L =2; locale =en_US; lu =ggIZeheqTLbjoZ5Wgg; lsd =IkRq1; reg_fb_gate =http%3A%2F%2Fwww.facebook.com%2Findex.php%3Flh%3Dbf0ed2e54fbcad0baaaaa32f88152%26eu%3DJhvyCGewZ3n_VN7xw1BvUw; reg_fb_ref =http%3A%2F%2Fwww.facebook.com%2Findex.php%3Flh%3Dbf0ed2e54fbcad0b1aaaaa152%26eu%3DJhvyCGewZ3n_VN7xw1BvUw 

Las cookies de primaria que me identifican como un usuario todavía están allí (acto es mi número de cuenta), a pesar de que estoy mirando una página de la sesión. En línea con las peticiones siguen enviando nueve galletas diferentes, incluyendo las galletas más importantes que le identifican como usuario

Esto no es lo que ‘salir’ se supone que significa eso – Facebook sólo alterar el estado de las galletas en lugar de eliminar todos ellos cuando un usuario cierra la sesión.

Con el navegador cerrará la sesión de Facebook, cada vez que visita cualquier página con un botón de Facebook, como, o el botón de acción, o de cualquier otro control, la información, incluyendo mi ID de la cuenta, se sigue enviando a Facebook. La única solución a Facebook sin saber lo que eres es borrar todas las cookies de Facebook.

Puede probar esto por ti mismo utilizando cualquier navegador con herramientas de desarrollo instaladas. Todo se oculta a la vista.

Un experimento

Esto me lleva de nuevo a una historia que todavía tengo que decir. Hace un año yo estaba jodiendo con múltiples cuentas de Facebook como parte de un trabajo de desarrollo. He creado una serie de falsas cuentas de Facebook después de salir de mi navegador. Después de usar las cuentas falsas por algún tiempo, me di cuenta de que estaban sugiriendo mi cuenta real para mí como un amigo. De alguna manera sabía que Facebook nos viene todo desde el mismo navegador, a pesar de que había cerrado la sesión.

Hay graves consecuencias, si se utiliza Facebook desde una terminal pública. Si usted se registra en un terminal público y después haga clic en ‘Salir’, que todavía están dejando tras de sí huellas de haber sido conectado pulg Por lo que yo puedo decir, estas huellas dactilares siguen siendo (en forma de galletas) hasta que alguien explícitamente se suprime todo el Facebook las cookies para ese navegador. Asociación de una identificación de la cuenta con un nombre real es fácil – como el mismo ID se utiliza para identificar su perfil.

Facebook sabe todas las cuentas que ha tenido acceso a Facebook desde cualquier navegador y está utilizando esa información para sugerir amigos para usted. La fuerza del valor de la ‘misma máquina “en el algoritmo que resuelve amigos que sugieren puede ser baja, pero todavía ocurre. Esto también es fácil de probar y verificar.

Me informó de este problema a Facebook en un correo electrónico detallado y consiguió el rebote alrededor.Envié un correo electrónico a alguien que conocí en la empresa y remitió la solicitud a ellos. Nunca recibí una respuesta. Todo el proceso fue tan escamosa y frustrante que no me he molestado el envío de dos agujeros de XSS que también he encontrado en el último año. Ellos realmente necesita para conseguir su mierda juntos en informar sobre asuntos de privacidad, estoy seguro de que tome los problemas de seguridad mucho más en serio.

El aumento de la conciencia de privacidad

10-15 años, cuando llegué por primera vez en la industria de la seguridad de la conciencia de los problemas de seguridad entre los usuarios, desarrolladores y administradores de sistemas es baja. Microsoft Windows e IIS fueron queso suizo en términos de vulnerabilidades de seguridad. Usted puede enviar manualmente cargas de malformaciones a IIS 4.0 y se han de colisionar con un desbordamiento de pila o montón, que suele dar lugar a una vulnerabilidad remota.

Hace una década la industria de software pasó por una reforma en el conocimiento de los principios de seguridad en la administración y el desarrollo. Microsoft re-entrenado la totalidad de sus desarrolladores en desbordamientos de búfer, errores de cadenas de formato, off-by-one bugs, etc y la auditoría de su base de código. Una serie de incidentes de seguridad de alto nivel creado conciencia, y los vendedores de hoy en día tienen los procedimientos adecuados de seguridad, desde la presentación de informes nuevos errores a las revisiones y los principios de programación segura (esto no era más que un problema de Microsoft – pero yo tenía la mayor experiencia con ellos).

La privacidad hoy se siente como lo hizo la seguridad hace 10-15 años – hay una conciencia de los problemas de construcción constante y entradas de blog de tecnólogos destacados está ayudando a pasar por encima de la conciencia pública. Los riesgos a la privacidad hoy en día son tan graves como las fugas de seguridad eran entonces – excepto que no hay un orden de magnitud más usuarios en línea y un montón de datos más privados que se comparte en la web.

Facebook es delantero-y-centro en el debate sobre la privacidad nuevo al igual que Microsoft estaba con problemas de seguridad hace una década. La cuestión es lo que se necesita para Facebook para hacer frente a la privacidad y para dar a sus usuarios las herramientas necesarias para gestionar su privacidad y la implementación de políticas claras-no páginas y más páginas de documentación legal confuso, y ‘salir’ en realidad no significa “salir” .

Actualización: El contacto con Facebook

Para aclarar, en primer lugar por correo electrónico este tema en Facebook el 14 de noviembre de 2010.También copié el correo electrónico a su dirección de prensa para obtener una respuesta oficial al respecto.Nunca recibí respuesta alguna. Le envié otro correo electrónico a Facebook, la prensa y se copia a alguien que conozco en Facebook el 12 de enero de 2011. Una vez más, que no obtuvo respuesta. Tengo copias de todos los correos electrónicos, las líneas de asunto fueron muy claros en cuanto a la importancia de este tema.

He estado sentado en esto por casi un año. El debate renovado acerca de Facebook y la privacidad de este fin de semana que me impulsó a escribir este post.

Actualización 2: Seguimiento

La reacción a esta historia ha sido increíble. Estoy escribiendo un seguimiento que analizará tanto los datos que he recogido, así como la respuesta de Facebook (que se puede leer a continuación en los comentarios).Si desea ver los registros de primas, los he guardado aquí . En concreto, el datr y lu galletas se conservan después de cerrar la sesión y en las solicitudes posteriores, y el a_user cookies, que contiene su nombre de usuario, sólo se borran cuando se reinicie la sesión. Lo más importante es el estado de conexión se mantiene a través de estas conexiones HTTP. Nunca hay una clara separación entre una sesión en sesión y una sesión de desconectado -. Pero voy a tener más en que en un post de seguimiento

Fe de erratas: me refiero al nombre de la cookie de malo en el post anterior. Yo también te digo “todos los sitios ‘puede ser rastreada, cuando quería decir’ todos los sitios que integran Facebook.

 

WikiLeaks’ Julian assange: Facebook is CIA spying machine

 

comentarios
  1. MyncWaync dice:

    I am distressed take the circumstances in Syria!

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s