Facebook: Mais um tiro, mais um melro

Robert McMillan, na Computerworld:

O Facebook está a corrigir um erro de programação que permitia, a hackers, alterar páginas de perfil, ou publicar informação que estivesse restringida (...) O erro está relacionado com a forma como o Facebook verificava que os browsers que estavam ligados no site, eram aqueles que diziam ser. Os servidores do Facebook usam um token ("post_form_id") para verificar que o browser que tenta fazer alguma coisa — gostar de um grupo, por exemplo — é realmente o browser que estabeleceu e entrou na conta do utilizador. Os servidores do Facebook verificam este token antes de fazerem alguma alteração na página do utilizador, mas Keith descobriu que quando apagava o token nas mensagens, poderia alterar vários parâmetros em qualquer conta no Facebook.

in Facebook fixing embarrassing privacy bug.

Bem, não é um exclusivo do Facebook — acontece nas melhores famílias (leia-se, aplicações : ) ...) mas vem alertar, mais uma vez, para três aspectos importantes: (i) Não existem aplicações 100% seguras; têm erros que, se forem explorados, podem expor informação confidencial. É importante ter isto presente quando publicamos a nossa informação; (ii) A segurança destas aplicações tem que ser testada exaustivamente, de forma periódica e sistemática &mdash é a única forma de identificar os erros e corrigi-los; e, finalmente, de uma perspectiva mais técnica, (iii) as aplicações web não podem assumir nada sobre os dados que são enviados pelos browsers, em nenhum momento. Têm que verificar todos os parâmetros que são transmitidos pelos clientes. Sempre.

Last, but not the least, para os programadores, sobretudo para aqueles que acham que isto só acontece nas aplicações dos outros... Com os cumprimentos da OWASP: O Development Guide e o Testing Guide. Bom apetite : )