15/11/07 09:11:28.85 iSzrX5oR0.net
>>551
この騒ぎで古いブログを思い出したけど、
最速転職研究会
2011-03-28 17:02
主人がFacebookアカウントを剥奪されて3週間が過ぎました
記事抜粋
URLリンク(ma.la) というのを書いたので、経緯と補足を書きます。
読むのが面倒くさい人向けに、ものすごく簡単に要約しておきます。
Facebookにはリンクを他人と共有するいいねボタン(likeボタン)というのがある。
Facebookの「ファンページ」なるものをつくると、いいねボタンを押したのが誰だか分かる機能がある。
ユーザーに気付かれないように細工したiframe内のボタンをクリックさせたりするクリックジャッキングという攻撃手法があり、いいねボタンを強制的に押させることが出来る
これによって悪意のあるサイトは、訪問者のFacebookアカウントを特定することが出来る
この手の問題はFacebookに限った話ではない。
CSRFやクリックジャッキングで行われたアクションの結果が第三者から観測可能な全てのサービスにある。
例えば強制的にはてなブックマークさせたりはてなスターを押させる方法があるなら、はてなのアカウントが分かる。
通常ならそのサービスのidと、公開状態のプロフィールが分かることになる。
Facebookの場合は実名登録の利用規約を強く徹底しているので、本名を登録してるならば(例えば日本の法律においては個人情報と定義されているところの)本名が分かる
クリックジャッキングは方法の一つでしか無くて、主旨ではありません。これはFacebookの設計上の問題の一面にしか触れておらず、あとでサードパーティCookieについての問題を書く予定です。
Facebookは、当初からこんな感じだったんだよ。