Один из экспертов в области безопасности обязался в течение сентября раскрыть
подробности о ряде уязвимостей к межсайтовому скриптингу в приложениях Facebook.

Исследователь, известный под ником theharmonyguy,

планирует
уведомлять разработчиков о наличии багов за 24 часа до момента
публикации сведений о них. Примером для проведения акции послужил организованный
Авивом Раффом в июле
месячник багов для Twitter
.

Стартовал месячник с публикации данных о пропатченных уязвимостях в FunSpace,
SuperPoke! и ряде других приложений. После этого в прошлый вторник была
обнародована информация о непропатченной дыре в приложении FarmVille. Его
разработчик оперативно закрыл обнаруженную исследователем брешь.

Дыра в приложении Causes, данные о которой были опубликованы в минувшую
среду, также была закрыта. Оба приложения до своего обновления были уязвимыми к
клик-джекингу, технологии, позволявшей злоумышленникам проводить XSS-атаки,
заставляя пользователей кликать по невидимым ссылкам или диалоговым окнам.

Автор идеи, взявший неплохой старт с помощью пяти припасенных уязвимостей,
приглашает других экспертов также публиковать обнаруженные ими дыры.

Однако, даже прибегнув к помощи со стороны, выпускать сведения о новых дырах
каждый день эксперту вряд ли удастся, поэтому дни перерыва можно будет посвятить
публикации данных о вредоносных приложениях для Facebook.

К примеру, Рик Фергюсон из Trend Micro пару недель назад написал сообщение на
блоге, где рассказал о по меньшей мере

одиннадцати вредоносных приложениях для Facebook
, которые ему удалось
обнаружить. Большая их часть была нацелена на кражу данных авторизации.



Оставить мнение