来源赛迪网作者Michael Arrington/杜莉 译
某个化名为8220;theharmonyguy8221;的步骤员、说自己只是8220;业余喜好者8221;、并表示已经破解了Plaxo上的Rock You OpenSocial 应用步骤、该步骤名称是emote他特殊强调、在45分钟里、他已经将壹些心境标记加到了Plaxo的超市副总裁John McCrea的个别解说中去了
在壹封电子邮件中、McCrea说这些心境标记是他自己添加的、他的帐户并没有被劫持但是我曾让theharmonyguy劫持我的Plaxo帐户、他真的做到了、并且添加了4条心境信息、好比8220;michael arrington is getting my bling on8221;以及8220;michael arrington is w00t8221;Theharmoneyguy后来又给McCrea的个别信息中加了壹个心境、这个是他无法否认的
theharmonyguy还指出了Rock You的代码所存在的特殊问题、其中还有壹些非常风趣的说法那些代码很有趣好比、有个应用好像我们还不克应用现在它加载8220;请等待8221;的对话框、该对话框从来稳固不过请看看如下的说法
// TODO: no error checking we8217;re bold8230; 别检讨毛病了 // TODO: figure out why this is necessary知道为什么必需这么做吗
另外该代码壹直在Plaxo和8220;默认8221;之间发生相同、默认的是Orkut事实上、我敢赌博断定在壹些OpenSocial屏幕上的壹些地方会显示些黑体的名字
if == 8220;orkut8221;) friendIdsiNumFriends = 8220;112855773313639420348243;; friendNamesiNumFriends = 8220;Raymond Chan8221;; iNumFriends = iNumFriends + 1; friendIdsiNumFriends = 8220;154790810596380464128243;; friendNamesiNumFriends = 8220;Jia Shen8221;; iNumFriends = iNumFriends + 1;
theharmonyguy说他也曾胜利地破解Facebook的应用、包含Superpoke、但是那个破解起来更难些
Facebook应用破解起来就没那么简单了我发觉Facebook的重要的问题是我能够探门人们跟应用相干的历史例如、直到最近、我都能探门SuperPoke的任何用户的举措反馈
由于Facebook的平台的设置方式特殊、妳很难真实地模拟壹个用户并像之前那样修改他的个别解说我确信、在Rock You那边妳可以用壹些验证码来轻松地解决这个问题、但是这在Rock You上不是固有的而在Facebook上则是固有的如果Facebokk不是那样设置的话、我可以像在Rock You上壹样能做到很多事情
噢、我也可以向Facebook的应用中注入我可以把任意的FBML插入到热点应用的canvas页上但是我还是做不了什么、因为我得有跟那个步骤相干的代码才华跟它进行交互、这种代码可不是随意就能得到的我不断定Google的iframe是不是也用这样的配置办法
卖然修改心境标记并不算是特殊坏的黑客活动问题在于我能轻易做到这点、建议Google多花点心思让这个新平台更稳固些如果他们不这么做、那么也许会出现更多危险的破绽
更新Plaxo的主平台架构师Joseph Smarr称他如今已经关闭了该应用
Michael非常感谢妳们供应的信息看起来好像有些地方劳动地不太正常我认为问题不太严重、例如、有些rockyou代码不区分gadget的8220;用户8221;和8220;游客8221;、我宁可更谨严壹些、因此我会为gadget做个白名单
这样做的话、我们就会持有壹份严厉的白名单、于是就不会有随机的黑客骚扰、而平台自己也在进行中好想这能够真正运行的OpenSocial代码能够抵过壹些小小的!须要忽视的小弊病
