PplWare Mobile

Autenticação nos serviços web via Facebook em risco…

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. Jose says:

    Não há problema nenhum se entrarem em sites que confiam, esta vulnerabilidade não é nada de novo, e fácil de explorar.

  2. Abílio says:

    Sou “antiquado” nesse aspecto, nunca usei o Facebook ou Twitter para login. Tenho um username e um email “falso” para todos os login. Claro que há sempre excepções, que no meu caso são o Paypal, o Fecebook e o Twitter em que uso o nome verdadeiro e o mail “oficial”. O Facebook uso com muita moderação…

  3. David says:

    Absurdo! O um OAuth Server responde (deve responder) apenas para URIs conhecidos, e do domínio de onde vem o pedido. Assim sendo a única “falha” que existe e que não é do OAuth, é no caso de a pessoa ser levada a utilizar um site/link falso o que era algo muito famoso há uns anos atrás com os sites dos bancos, porque as pessoas não se preocupavam se o URI era válido ou não, e como tal não reparavam que estavam a dar os seus códigos pessoais a sites fraudulentos (semelhante ao que também já se viu acontecer com caixas multibanco falsas, mas nunca ouvi dizer que as caixas multibanco tinham um problema de segurança porque podiam ser falsas).

    • Francisco says:

      Em quantos jogos e aplicações não entramos tantas vezes e permitidos login a partir de OAuth? É fácil fazer uma aplicação falsa e libertá-la no mercado, de forma gratuita, com a hipótese desse tipo de autenticação. Aqui não se está a falar de sites que fingem ser bancos ou informação de nível monetário, pelo que é muito mais difícil de distinguir os falsos dos verdadeiros.

  4. José says:

    Mas os serviços opensource não deviam ser mais seguros?

    • Daniel Costa says:

      Open source nao tem qualquer ligacao se e mais seguro ou nao, a nunica vantagem e q pode ser melhorado e que qualquer tentativa de mal possa ser descoberta. Mesmo assim o Open Source perde pela perda de seguranca porque todos tem acesso ao codigo e podem encontrar falhas

  5. anónimo says:

    Essa falha aparece de repente no site solicitando o Login ,como pop-ups ,propagandas?Ou está sendo explorado os botões nativos do sites para logins?

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.