这是侵入Facebook应用程序的有效方式吗？(可能是Facebook)？

Question

1. 你的朋友连接到Facebook并检查"记住我".
2. Facebook在浏览器上创建了一个cookie.
3. 你的朋友去洗手间.
4. 你从他的浏览器及其数据中窃取你朋友的cookie.
5. 你回家用这些数据制作这些饼干.

假设Facebook 不关联cookie + IP,您可以访问Facebook页面.编辑:是的,Facebook不检查IP.

现在,让我们来看看Facebook Connect.这是关键.

1. 用户通过按下按钮"连接".
2. Facebook在浏览器上设置cookie,您的应用程序后端将从中读取该cookie以确定用户是否经过身份验证.然后,将此FB-cookie-id与您系统中的用户相关联.

如果您的系统没有检查IP,那么理论上伪造cookie将允许您访问使用Facebook Connect的应用程序.然后,您可以访问该应用程序,

在进行Facebook连接时应该检查IP是否有效以增加安全级别？ 但即使你这样做,也有人对IP Spoofing发表了评论.

@everybody说"物理访问":

是的,我同意物理访问的概念使这个问题变得微不足道.但是,这是应用程序必须注意的漏洞.当然,Facebook个人资料/无用的应用程序并不重要......但如果应用程序是银行系统怎么办？我要说的是,如果花旗银行或美国银行使用"Facebook Connect"(这将是愚蠢的,但让我们假设),那么这种方法将被证明是一种访问其帐户的简单方法.

因此,Facebook Connect不应该与任何"重要"一起使用.对？

Answer 1

另一个选择是,在你的朋友去洗手间之后,你可以偷走他的钱包并利用里面的现金贿赂他的女朋友给你他的Facebook密码,从而使他的所有应用程序使用Facebook Connect易受攻击.