晨光科技—合肥網站建設、合肥網絡推廣
阿里云服務器 晨光科技云平臺 品牌網站建設
資訊快報更多
全國統一服務熱線
  當前位置:網站首頁 - Facebook鏀規紡媧炴嚫璩炴斂絳栵細鍫卞憡騫寵嚭絎笁鏂規噳鐢ㄥ彲鐛茬崕

陕西快乐十分同步开奖结果查询:Facebook改漏洞懸賞政策:報告平臺第三方應用可獲獎

【作者/來自】網站管理員 【發表時間】2018-9-18 【點擊次數】217

陕西快乐十分钟投注 www.dxtcf.icu   新浪科技訊 北京時間9月18日上午消息,Facebook平臺上的第三方應用可訪問用戶數據,但這些應用近期被發現諸多漏洞。隨著相關批評越來越多,Facebook近日宣布,將其漏洞賞金項目(bug bounty program)擴大至第三方應用范圍。

  Facebook如今將向報告用戶訪問令牌(user access tokens)內漏洞的開發人員提供獎勵。所謂用戶訪問令牌,即允許用戶通過登錄Facebook直接注冊/登錄第三方應用的功能。假如這個訪問令牌落入黑客手中,他們可以未經同意獲取用戶數據。

  在報告中,研究人員須提交概念驗證,來說明該漏洞如何可以允許黑客訪問或濫用用戶數據。Facebook將為報告提供至少500美元的獎勵,并且只關注擁有至少5萬活躍用戶的應用上發現的漏洞。

  在宣布這一變更的博客文章里,安全工程師丹·葛芬科(Dan Gurfinkel)說,Facebook將只考慮這些報告:“在使用有漏洞應用和網站時,通過被動查看發送至您的設備或從您設備發出的數據時發現的漏洞”。因此,研究人員無法創建一個開放的重定向,比如,來繞過身份驗證要求。

  “如果暴露,基于用于設置的權限,訪問令牌極有可能被濫用,”葛芬科寫道,“我們希望給研究人員提供一個明確的渠道來報告這些重要的問題,我們也希望進我們最大的努力去?;と嗣塹男畔?,即使問題源不在我們的直接掌控之下?!?/FONT>

  通常,第三方應用漏洞均不在大型科技公司的賞金漏洞報告的范圍之內。但是Facebook仍在艱難處理用戶的反對情緒,因為多年來公司一直允許第三方應用訪問大量用戶數據且基本上沒有任何監督,其中一些應用甚至以允許其他人訪問這些數據,違反Facebook的開發者政策,最顯著的例子就是“劍橋分析”(Cambridge Analytica)數據泄露事件。

  最近幾個月,一些應用如Bumble和Coffee Meet Bagel等,也向用戶提供了Facebook身份驗證之外的其他登錄選項——以回應他們所說的用戶對使用Facebook登錄越來越不放心一事。因此,Facebook必須對第三方應用予以監管以重新獲得用戶信任。

  Facebook最近也推出了修訂的應用審查流程,旨在清理訪問超出其本身所需的用戶數據的第三方應用。(小白)

關閉
地 址:合肥市包河區安徽青年電子商務產業園D區  電話:13305609668 
咨詢QQ:283515045
E-Mail:[email protected]   點擊這里給我發消息 點擊這里給我發消息 陕西快乐十分钟投注
Copyright © 2012 合肥晨光電子科技有限公司 陕西快乐十分钟投注 www.dxtcf.icu 版權所有