Facebook đã thực hiện một số thay đổi quan trọng đối với cách thức trong Trang Facebook, các trang dành cho người hâm mộ do các thương hiệu, ban nhạc và thậm chí cả dưa chuột thiết lập đều có thể được tạo.
Trước đây, các tab có thể được thêm vào các trang này đã được thiết lập theo hai cách; người đầu tiên sử dụng ứng dụng Facebook FBML. Điều này cho phép các tab trang được tạo bằng Ngôn ngữ đánh dấu Facebook tĩnh (FBML) hoặc HTML, nó không đặc biệt hấp dẫn nhưng rất đơn giản để sử dụng. Phương pháp thứ hai để tạo các tab trang là thêm một ứng dụng Facebook tùy chỉnh bên trong một tab FBML tiêu chuẩn. Điều này có nghĩa là ứng dụng tùy chỉnh có thể yêu cầu dữ liệu bên ngoài từ bên thứ ba và hiển thị dữ liệu đó bên trong tab trang. Nội dung này mặc dù có nhiều hạn chế về kỹ thuật, vì tất cả đều được ủy quyền thông qua Facebook, điều này đã phá vỡ nhiều thứ bao gồm pixel theo dõi, JavaScript và Flash.
Vậy sự thay đổi lớn là gì? Chà, Facebook hiện cho phép đưa iframe vào trong các ứng dụng Facebook trên các tab trang, nghĩa là có thể tránh được tất cả các hoạt động ủy quyền của Facebook. Mặc dù đây chắc chắn là một tin tuyệt vời đối với các nhà phát triển hợp pháp nhưng chắc chắn nó sẽ giúp cuộc sống của những kẻ có ý đồ xấu trở nên dễ dàng hơn nhiều.
Giờ đây, có thể thiết lập trang Facebook, tạo tab đích mặc định (tab bạn nhìn thấy đầu tiên khi truy cập trang) và bao gồm một ứng dụng chứa iframe. Ví dụ, khung nội tuyến đó có thể chứa JavaScript ngay lập tức và không có sự tương tác của người dùng sẽ chuyển hướng bạn đến bất kỳ trang web nào mà nó chọn. Ví dụ: giả sử một trang chứa Fake AV hoặc một trang có bộ công cụ khai thác đang chờ để âm thầm lây nhiễm phần mềm độc hại cho bạn.
Không cần likejacking nữa, không cần phải thuyết phục người dùng cài đặt ứng dụng của bạn nữa, nếu một tên tội phạm có thể làm mồi nhử đủ hấp dẫn để bạn truy cập trang, thì đó là tất cả những gì chúng cần để bắt đầu chuỗi dẫn đến việc máy tính của bạn bị tấn công. bị xâm phạm và sử dụng cho mục đích tội phạm.
Tất nhiên, Facebook yêu cầu các nhà phát triển của họ đồng ý với quy tắc ứng xử cấm các hoạt động như vậy, nhưng khi nói đến tội phạm, điều đó giống như tước giấy phép lái xe của người lái xe vui nhộn.
Tôi đã thông báo cho Facebook về sự giám sát này trong chức năng mới của họ và sẽ cập nhật bài đăng trên blog này nếu tôi nhận được phản hồi từ họ.
Cảm ơn Stig Edvartsen vì đôi mắt đại bàng của anh ấy và Heidi Obschil-Müller vì iframe
