Dziurę w gadżecie znalazłem przypadkliem, śledząc odwiedziny na moim blogu opartym na Wordpressie. W historii odwiedzin, jak w większości takich apletów, widoczne są strony, z których goście przyszli. Problem w tym, że link źródłowy zawiera wszytskie dane sesji i wygląda mniej więcej tak (ocenzurowałem link, żeby inni nie wykorzystali dziury w niecnych celach):
http://facebookiggadget.appspot.com/?lang=pl&country=pl&.lang=pl&.country=pl&synd=ig&mid=133&ifpctok=&exp_split_js=1&exp_track_js=1&exp_new_js_flags=1&exp_ids=17259&parent=http://google.pl&libs=DoXS5gxhejE/lib/liberror_tracker.js,MPnggXVZi-E/lib/libcore.js,/lib/libsetprefs.js&view=home&is_signedin=1&up_session=%7B%22session_keyexpires
Wskutek takiego niedopatrzenia mogłem, po kliknięciu w link, zalogować się na FB jako mój gość (w tym konkretnym przypadku, mój znajomy)...Po powiadomieniu go o sytuacji zrobiłem prosty test i napisałem wiadomość jako mój znajomy. ZADZIAŁAŁO!
Rzecz jasna, widzę jego nazwisko oraz nazwiska i wypowiedzi jego znajomych...
Znajomy zgłosi buga do Google, ale lepiej uprzedzić użytkowników gadżetu, zanim ktoś zrobi im nieprzyjemną niespodziankę...
Polecamy
Warto przeczytać
Reklama
Komentarze
Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka
(słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.
Popularne
Pobieraczek.pl pozwie internautów, którzy nie chcą płacić abonamentu
1455
Debata w sprawie ACTA: internauci spodziewali się chyba czegoś innego
14
PHP 5.3.9 nie pozwoli hakerom zawiesić serwera. Pozwoli za to przejąć nad nim kontrolę
28
Programowanie w środowisku Android – wprowadzenie do projektowania aplikacji dla urządzeń mobilnych
15
Źle się dzieje z Chrome, ze stabilnością coraz gorzej. Gdzie się podziała słynna izolacja procesów?
26
Internet w EU bez Facebooka i Google? Firmy nie mają wyboru: albo się dostosują, albo…
10
-
Zaktualizuj PHP do wersji 5.4, zyskasz za darmo nawet o kilkudziesiąt procent wyższą wydajność aplikacji
6
MSWiA zamówiło narzędzia do „złamania” Tora i podsłuchiwania internautów. Czy złamało przy tym prawo?
89
![[Aktualizacja] Facebook zablokował Demotywatory.pl. W czym zawiniły?](/files/groups/editors/internet/2011_11/demotywatory-30x22.jpg)
[Aktualizacja] Facebook zablokował Demotywatory.pl. W czym zawiniły?
36
FBI zamknęło Megaupload. Anonimowi dali się sprowokować. Teraz ich akcja uzasadni potrzebę SOPA?
17
-
Pobieraczek.pl pozwie internautów, którzy nie chcą płacić abonamentu
1455
-
Programowanie w środowisku Android – wprowadzenie do projektowania aplikacji dla urządzeń mobilnych
15
„Donald matole, twój rząd dopadną kibole” – hakerska elita przyłącza się do walki z ACTA
23
-
Klamka jeszcze nie zapadła. Minister prosi Donalda Tuska, by wstrzymał się z podpisywaniem ACTA
24
Społeczność
staszaiwa 32 minuta.
http://bankier...-
obsservator @kajoj
W skrócie:
1. Produkcje artystyczne: filmy, muzyka, książki itp.
-
obsservator Znów webhosting.pl bierze udział we wciskaniu kitu, to smutne. Przede...
-
slepiec czyli ze Office będzie jedynym argumentem, aby takie cos kupic, ale i tak...
-
zbyka Dobrze Przemek, ze przstales wreszcie pisac o bzdurach z poletka Apple.
-
Ebhossmith Witam jestem Pan Ebhossmith, Dobre, uzasadnione i wiarygodne pożyczki...
-
DerDevil Mnie zatkało. Taka kwota i to w tak krótkim czasie. A najlepsze jest w tym...
- gardius: Dobra hurtownia sportowa (1)
- gardius: Tanie książki gdzie warto kupować? (1)
- Najdmen.pl: PROMOCJA, 500 DOMEN .EU ZA 1 PLN NETTO ! (1)
- VMLine: [Oferta] Serwery VPS Xen-HVM/OpenVZ z darmową administracją (2)
- Marek: Generowanie PDFa (2)
- Marek: problem z menu (2)
- Marek: Własne checkboxy w HTML,CSS (1)
Polecane książki
Praca
Czytaj Webhosting
Chcesz być na bieżąco z naszymi informacjami? Zapisz się na Newsletter.
Śledź nas: 
Zarejestruj domenę
Sprawdź dostępność swojej domeny:
| .pl: | 0 zł | .com: | 19.90 zł | |
|---|---|---|---|---|
| .com.pl: | 0 zł | .eu: | 19.90 zł |