Один из экспертов в области безопасности обязался в течение сентября раскрыть
подробности о ряде уязвимостей к межсайтовому скриптингу в приложениях Facebook.
Исследователь, известный под ником theharmonyguy,
планирует уведомлять разработчиков о наличии багов за 24 часа до момента
публикации сведений о них. Примером для проведения акции послужил организованный
Авивом Раффом в июле
месячник багов для Twitter.
Стартовал месячник с публикации данных о пропатченных уязвимостях в FunSpace,
SuperPoke! и ряде других приложений. После этого в прошлый вторник была
обнародована информация о непропатченной дыре в приложении FarmVille. Его
разработчик оперативно закрыл обнаруженную исследователем брешь.
Дыра в приложении Causes, данные о которой были опубликованы в минувшую
среду, также была закрыта. Оба приложения до своего обновления были уязвимыми к
клик-джекингу, технологии, позволявшей злоумышленникам проводить XSS-атаки,
заставляя пользователей кликать по невидимым ссылкам или диалоговым окнам.
Автор идеи, взявший неплохой старт с помощью пяти припасенных уязвимостей,
приглашает других экспертов также публиковать обнаруженные ими дыры.
Однако, даже прибегнув к помощи со стороны, выпускать сведения о новых дырах
каждый день эксперту вряд ли удастся, поэтому дни перерыва можно будет посвятить
публикации данных о вредоносных приложениях для Facebook.
К примеру, Рик Фергюсон из Trend Micro пару недель назад написал сообщение на
блоге, где рассказал о по меньшей мере
одиннадцати вредоносных приложениях для Facebook, которые ему удалось
обнаружить. Большая их часть была нацелена на кражу данных авторизации.
