Diğer Industryolog Akademi

Akademi IT 1 – Facebook Resim Açığı

Merhabalar, Akademi IT biriminde çalışmalarımız sırasında elde ettiğimiz bilgileri bu yazı dizisi ile sizlerle buluşturacağız.

Günden güne ne kadar açıklar kapatılmaya çalışılsa da yeni açıklarla karşı karşıya geliyoruz. Benimde Facebook’ta karşılaştığım ve açık olarak düşündüğüm bir gizlilik sorunu var.

Facebook’un bu konu hakkında bilgisi var mı, yoksa bir açık değil de bilinçli yapılmış bir şey mi bilemiyorum ancak böyle bir açığın olması durumunda çok kötü sonuçlar doğabilir.

Açıktan bahsedecek olursam eğer; Facebook sohbette arkadaşınıza gönderdiğiniz bir resmin bağlantısını(url) alıp farklı tarayıcılarda açtığınızda açmaya izin veriyor. Bunlara tarayıcıların gizli sekmeleri de dahil. Herhangi bir kullanıcı-oturum yetkilendirmesi yok.

Paylaşılan resim dosyaları .png uzantılı olarak kaydediliyor. Url’den bağlanırken ise bir yetkilendirme yapılıyor. Ancak bu yetkilendirme Query String ile yapıldığından her yerden erişim sağlanabiliyor.

facebook-resim-acigi

Attığım resimden aldığım bir adresi inceleyelim.

https://scontent-ams3-1.xx.fbcdn.net/v/t35.0-12/15225238_10209821290421796_507444395_o.png?oh=4204bc433da94071660d70d9370f9a15&oe=583FA28F

Bu resim Facebook’un resimler için tuttuğu bir sunucuda barındırılıyor. Url’i parçalarsak;

“scontent-ams3-1.xx.fbcdn.net” resim dosyaları –muhtemel diğer dosyaları da- tuttuğu sunucu adresi,

“v/t35.0-12” ise dosyaların tutulduğu dizinler-klasörler,

“15225238_10209821290421796_507444395_o.png” klasördeki resmin adı,

“?oh=4204bc433da94071660d70d9370f9a15&oe=583FA28F” bu ise Query String yöntemi dediğimiz bir yetkilendirme. Facebook tarafından yapılan bu yetkilendirme kişiden kişiye, dosyadan dosyaya değişim gösteriyor.

Bu yetkilendirmenin Query String ile yapılması büyük sorunlara yol açabilir. Bu işlemin kullanıcının oturumu(cookie) ile yapılması gayet sağlıklı bir çözüm olacaktır diye düşünüyorum.

Ek olarak söylemek isterim ki; bu yazıyı, karşılaştığım bu durumun bir sorun olabileceğini düşündüğüm için yazdım. Düşüncelerinizi veya olay hakkındaki bilgilerinizi bana ulaştırabilirsiniz.

Bir sonraki Akademi IT yazısında görüşmek dileğiyle.

Facebook Kullanıcı Tarafından Silinen Dosyaları Silmiyor” adlı yazımı da okumanızı tavsiye ederim.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir