Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 6/2/2014
En sikkerhedsforsker har fundet to sikkerhedshuller i Facebook Connect, der lader brugere anvende deres Facebook-login på andre tjenester. Facebook vil ikke lukke hullerne.Sikkerhedsforsker Egor Homakov beskriver de to huller på sin blog. Den ene er af typen cross-site request forgery (CSRF). En angriber kan bruge den til at logge ind som en anden bruger på et websted, der anvender Facebook Connect.
Den anden lader en angriber overtage en Facebook-brugers konto ved at udnytte en sårbarhed i viderestilling.
Han har informeret Facebook om sårbarhederne. De svarer, at de har forsøgt at beskytte mod CSRF før, men at det altid har givet problemer med funktionaliteten. Da de opfatter risikoen som noget teoretisk, ser det ikke ud til, at de vil rette fejlene.
Ifølge Egor Homakov findes CSRF-sårbarheden på ethvert websted med knappen Facebook Connect. Han fraråder, at udviklere af websteder anvender Facebook Connect til kritiske applikationer.