Zadzwoniła dziś do mnie koleżanka, z którą kiedyś pracowałem (jako człowiek od IT i ogólnie pojętego bezpieczeństwa), że w jej biurze rozeszła się z szybkością błyskawicy (nie wiem czy chodziło o grzmot czy błysk) informacja, że na swoje konto na Facebooku może się zalogować nawet jeśli poda się błędny adres e-mail (login).
Oczywiście wszyscy u niej w biurze rzucili się do swoich (służbowy, a jak) komputerów by najpierw się wylogować z Facebooka (w końcu dla wielu to podstawowe narzędzie pracy biurowej ;-)), a następnie zmienić literkę czy dwa w adresie e-mail spróbować się zalogować ponownie – i za każdym razem, i każdemu się udało…
No i takim sposobem dział kadr w jednej z warszawskich firm wykrył “poważną dziurę bezpieczeństwa” na Facebooku – a przynajmniej tak im się wydawało ;-)
Spis treści w artykule
Do Facebooka zalogujesz się ponownie(!) nawet jak podasz zły login (adres e-mail)
Faktycznie – tak można, to działa – ale nie jest to jakaś dziura, tylko najprawdopodobniej celowe działanie, które ma wyeliminować “zawracanie im 4 liter” przez osoby, które logując się ponownie za pomocą danej przeglądarki pomylą się w adresie e-mail.
A wierzcie mi, że logi i zgłoszenia “na helpdesku” pokazują, że jest to dość powszechne zjawisko.
Ale to nie jest tak, że wystarczy, że ktoś wpisze Wasze hasło do Facebooka, i dowolny adres by udał się proces logowania na Wasze konto.
Muszą być spełnione (łącznie) następujące warunki:
- Wcześniej już logowaliście się za pomocą tego urządzenia i przeglądarki (czyli jest ciasteczko/cookie)
- Pomylicie się w adresie (login) maksymalnie w 3 miejscach
- Podacie prawidłowe (w 100%) hasło
Teoria za nami, pora na przykłady
Załóżmy, że mój adres e-mail do konta na Facebooku to:
[email protected]I mam takie hasło:
WebIsniderJestNajlepszy!!!11Uda się zalogować w takich przypadkach – oczywiście poza sytuacją gdy wszystkie dane będą poprawne/zgodne w 100%:
- Login: [email protected]
- Hasło: WebIsniderJestNajlepszy!!!11
Oraz w takim:
- Login: [email protected]
- Hasło: WebIsniderJestNajlepszy!!!11
A nawet i w takim:
- Login: [email protected]
- Hasło: WebIsniderJestNajlepszy!!!11
Ale już nie uda mi się zalogować gdy pomylę się w nazwie użytkownika (adresie e-mail) o więcej znaków niż 3:
- Login: [email protected]
- Hasło: WebIsniderJestNajlepszy!!!11
Lub – o czym wcześniej pisałem – podam złe hasło, choćby o 1 znak:
- Login: [email protected]
- Hasło: WebIsniderJestNajlepszy!!!12
Oczywiście nie uda mi się to też w sytuacji gdy będę chciał zalogować się z innego/nowego komputera/przeglądarki, lub gdy moje ciasteczko (cookie), które zostawił Facebook podczas logowania zostało zjedzone ;-)
Tak więc możecie sprać spokojnie, przynajmniej jeśli chodzi o ten “problem”, choć ja zawsze polecam aktywację dwuskładnikowego uwierzytelnienia, które jest dostępne również na Facebooku.
| Lub postaw nam kawę :-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Poznaj aplikację DroneTower, czyli nowy (i teoretycznie obecnie jedyny) sposób zgłaszania lotów dronami - 1970-01-01
- WordPress 6.5 i “Requires Plugins”, czyli autor wtyczki może teraz w prosty sposób określić, jakie wtyczki są niezbędne (wymagane), do działania jego wtyczki - 1970-01-01
- Przegląd nowości w aktualizacji 01.03.1300 oprogramowania kontrolera DJI RC (RM330) - 1970-01-01
