Facebook lär sig av sina misstag?

(Publicerad 2009-02-27)

I dagarna täppte Facebook till ytterligare Cross Site Scripting-hål. Det kort efter att man blivit informerade om sårbarheten från en säkerhetsforskare. Men för bara två månader sedan var det ett helt annat ljud i skällan.

Facebook har täppt till ytterligare XSS hål i sin sida. Det är bara ett av flera som uppdagats det senaste halvåret. Vad som är särskilt intressant är hur snabbt attityden från Facebook har ändrats.

Augusti 2008 blev Facebook informerade om ett annat XSS-hål. Men inget svar kom. Det var först då säkerhetsforskaren fyra månader senare gick ut till media med hålet och The Register skrev om det som Facebook ansåg det var värt att bry sig om det.

Om och om igen ser man samma sak. Forskare försöker bete sig ansvarigt, lägger tid och kraft på att dokumentera och nå fram med resultaten till någon som kan fixa det. Inget svar.  

Samma mönster gick att se förra veckan då en 14-åring kontaktade administratörer för ”Kunskapsnätet”. Istället för att lyssna på honom, tacka och åtgärda felet så valde man att försöka stänga ute honom genom att byta hans lösenord. Svaret blev att utnyttja en XSS-bug och dirigera om trafiken till ett filmklipp. Efter det låg sajten nere i tre dygn.

Det finns högar med fler exempel som alla visar samma sak. Men vi kan väl försöka vara glada åt att åtminstone Facebook nu verkar ha lärt sig?

--
CJ

Kommentarer

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback

HPS säkerhetsblogg


High Performance Systems logo


RSS 2.0