Rik Ferguson

Facebook kendi eliyle JavaScript açığı yarattı

Facebook fan sayfalarındaki değişiklikler ne gibi tehlikeler besliyor

Geçtiğimiz günlerde markalar (TrendMicro), müzik grupları(Clearly Deluded) ve hatta salatalıklar(Cucumbers) için yaratılmış Facebook fan sayfalarında önemli değişiklikler gerçekleşti.

Geçmişte bu sayfalara eklenebilen sekmeleri yaratmanın iki yolu vardı; birincisi Facebook FBML uygulamasıydı. Bu uygulama sayfa sekmelerinin Facebook Markup Language (FBML) ya da HTML ile yaratılmasına imkân veriyordu. Çok umut verici olmasa da kullanması oldukça kolay bir yöntem denebilir.

Sayfa sekmeleri yaratmak için ikinci yöntemse özel Facebook uygulamasının içine standart bir FBML sekmesi eklemekten geçiyordu. Bunun anlamı şuydu; özel uygulama üçüncü parti bir ortamdan veri istiyor ve sayfa sekmesinde görüntüleniyor. Bu yöntemde Facebook’un engelleri nedeniyle aynı pikselin tekrar istenmesi, JavaScript ve Flash gibi birçok şey kullanılamaz duruma gelerek teknik engeller ortaya çıkıyordu.

Peki, büyük değişim ne? Artık sayfalardaki sekmelerde yer alan Facebook uygulamalarında iframe’ler kullanılabiliyor. Aslında bu durumun anlamı şu: Facebook’un yönlendirmesinden kaçınılabilir. Kuşkusuz bu durum dürüst geliştiriciler için iyi bir haber anlamı taşırken, zararlı yazılımların da çok daha kolay sızmasına yol açacak.

Şimdi bir Facebook sayfası hazırlarken varsayılan bir sekme ve iframe içeren bir uygulamadan yararlanılabiliyor. Örneğin Bu iframe’lerden JavaScript içereni, kullanıcının etkileşimine bakmaksızın kendi seçeceği herhangi bir siteye yönlendirebilir. Yine örnek vererek devam edersek; FakeAV (sosyal mühendislik yöntemleriyle kullanıcıları zararlı sitelere yönlendirmeye çalışan yazılım) barındıran ya da zararlı yazılımlarla sessizce kullanıcıya sızmaya çalışan sayfalar artık kolaylıkla Facebook’ta görülebilir.

Artık kullanıcıları beğenileri doğrultusunda kandırmaya gerek yok. Zira bir suçlu kullanıcıların sadece sayfayı ziyaret etmesi için yeterince tatlı bir yem ortaya attıysa, bilgisayarınızın kötü niyetli kişilerin emellerin alet olmasına yeterli olacak.
Tabii ki Facebook, kendi geliştiricilerine bu tür aktivitelerden uzak durmaları için yürütme kodundan emin olmaya çalışıyor ancak suçlulara dönüp bakarsak, bu durum sadece gezintiye çıkan bir şoförün ehliyetine el koymak gibi görünüyor.
Bahsettiğim yeni Facebook fonksiyonuyla ilgili genel bir bilgi edinebildim ve dahasını duyarsam paylaşmaya devam edeceğim. Bu arada Stig Edvartsen’e keskin gözleri, Heidi Obschil-Müller’e de iframe için teşekkür ederim.

Okuyucu Yorumları

İlk yorum yapan siz olun
Sen de yorum yaz

Takip Edin