国际计算机与通信工程创新研究杂志
菜单在线刊号(2320-9801)印刷刊号(2320-9798)
在线刊号(2320-9801)印刷刊号(2320-9798)
Kaur小朋友!1,尼哈·辛格2
|
| 有关文章载于Pubmed,谷歌学者 |
更多相关文章请访问国际计算机与通信工程创新研究杂志
社交媒体整合已经成为任何公共盈利行业快速发布和接触客户的关键。即使是集成应答者也能迅速掌握最新的产品。社交媒体整合简单来说就是把Facebook、Twitter、LinkedIn、谷歌+等社交网站按钮放在你网站访问量最大的页面上。公司正在通过社交媒体整合来优化他们在在线领域的存在,并热切地帮助自己将更多的客户参与度提升到一个全新的水平。在竞争激烈的时代,每个组织都在寻找社交媒体渠道,让他们的产品在数百万在线用户中跨界流行,从他们有价值的服务中快速赚钱。Pause:我们有没有想过,出于黑客窃取个人信息的安全威胁而访问社交媒体渠道所涉及的漏洞?由于每个软件组件都可能存在漏洞,因此应该保护与社交媒体集成有关的Web服务。
关键字 |
| 漏洞,责任,易感性,认证,授权,优化。 |
介绍 |
| 通过网络服务整合社交媒体已经构成了个人信息被黑客窃取的威胁。用户在使用Facebook、tumbler、Twitter或谷歌帐户的凭据直接登录应用程序或Web服务时应小心。OAuth 2.0和OpenID的安全流程可能会被攻击者破坏,攻击者可以很容易地将您的正常流程重定向到恶意站点,并出于恶意目的接管您的个人安全信息。这是使用OAuth 2.0和OpenID技术的副作用,它创建了一个漏洞,可以使用您从Facebook,谷歌等登录来代表您访问其他网站和服务。由于这个缺陷,攻击者/黑客可以为用户创造一个错觉,用户已经通过FB或谷歌登录,然后将他们重定向到他或其他黑客拥有的恶意网站。现在从那里,根据授予的访问级别和授权角色,它可以暴露你的联系人,朋友列表,个人信息,也是你的银行详细信息,或者如果是谷歌应用程序,它可以窃取图像,存储的数据等。雷竞技网页版 |
| 这些安全威胁需要引起领先的在线玩家的注意。这些社交渠道可以很容易地访问Web服务或Android和iOS应用程序,这使得客户可以使用他们的凭据将其签名到他们的账户上,而黑客造成的安全威胁则是他们的代价。实际上,如果在大公司有账户的客户盲目信任使用其登录系统连接web服务的关联第三方。它为开发团队提供了便利,因为他们不需要创建自己的授权系统。相反,它们只依赖于OAuth 2.0提供的安全性,这是一个开源开发的协议。这样,客户就很容易成为在线攻击者的目标。 |
2文献调查 |
| 在[1]中作者曾提到,社交媒体集成比任何其他系统集成都要复杂。原因是它连接了世界各地数以十亿计的用户。它生长得越多,越深入到寒冷的环境中,它的脆弱性就越强。 |
| 在[8]中作者提到,社交媒体Facebook已经为各种全球网站提供了集成API,如Time.com, Pandora.com和ESPN.com等,Facebook API中的一些问题导致了其开发者的返工,并为Facebook Open Graph铺平了道路,这使得API很少不受欢迎。一些安全问题包括:暴露用户朋友的隐私,允许Facebook用户获得当前用户的在线个人活动。他们还可以看到待处理的好友请求、在线聊天信息等。Facebook的开发者对用户数据有更多的控制,包括用户和朋友的公开信息。个人资料更容易搜索。 |
3安全漏洞 |
| 安全缺陷不仅仅是OAuth本身的易感性;这也是大公司的责任,他们是如何实现OAuth 2.0的。例如,facebook总是建议其开发团队通过限制重定向使用安全可靠的url来有效地关闭协议漏洞。但是许多开发人员并不使用它。大公司通常不会注意为每个请求实施安全措施。大公司正在努力确保社交媒体集成的安全,同时意识到使用Web服务的安全问题。OAuth 2是一种允许应用程序与社交媒体api交互的协议。 |
| 公司正在进行调查,目前确定安全威胁属于第三方门户的领域,他们建议受害者立即向第三方供应商报告这个问题。相反,他们需要要求开发人员调查这个严重的问题。在这些大公司提供解决方案之前,无论何时有应用程序或网站要求您通过社交媒体渠道连接,您都需要非常小心。要注意的是,如果你正在浏览一个网站,并收到一个闪烁的请求,让你登录你的社交媒体账户,而你根本不期待同样的事情,最好是退后,不要继续前进。 |
 |
| 如今许多网络服务都允许用户重置密码。一般来说,您需要提供您的用户名和回答一些安全问题。有时候这些问题很简单,比如:“你在哪里上的小学?”、“你的出生日期是几号?”,“你母亲的娘家姓什么?”等等。这些信息可以很容易地从你的社交媒体集成中提取出来。这种窃取行为将允许攻击者正确回答简单的安全问题,然后重置帐户。一旦账户被泄露,它可能会被用来生成其他有用的信息,或者错误地向有联系的朋友发送垃圾邮件。 |
 |
| 由于数百万用户目前通过各种社交媒体渠道活跃在互联网上,他们的信息很容易被黑客窃取,即使是web服务集成中的一个微小安全漏洞。 |
四、单点登录存在的问题 |
| 在这个社交网络和软件即服务(SaaS)时代,现在许多商业网站都提供了基于web的单点登录(SSO)设施,以在SSO中保护和提供许多web资源。正式验证过程中的经验丰富的研究工作已经结束,但只有少数科学家分析和报告了商业部署在实时网站上的SSO策略安全质量差所暴露的威胁。这种类型的分析总是面临着技术上的挑战,比如缺少对良好的代码和协议的访问,以及富浏览器元素的复杂性。 |
| 单点登录(SSO)被广泛应用于电子商务领域,以改善用户体验。在最近的一项调查中,大多数web用户更喜欢由网站提供SSO,以便立即访问不同应用程序的web资源。单点登录(SSO)是一种使用具有自主端到端软件系统的多个网站资源的方法。有了这个功能,用户被提示做一次登录,他就可以访问所有的系统和web资源,节省了对每个网站进行身份验证的时间。这种类型的安全性是通过使用轻量级目录访问协议(LDAP)和服务器上存储的LDAP数据库来管理的。保存Cookie是另一种方式来管理单点登录功能,如果网站是在同一个域。 |
 |
| 另一方面,单点登录是相反的特性,如果用户只是注销,则终止用户对多个系统的访问。使用单点登录特性的更好方法应该是,它在内部存储加密的身份验证凭据,以访问不同的系统,而不需要管理初始身份验证和授权。还有一些其他可用的共享身份验证机制,包括OpenID、OAuth、OpenID Connect和FB Connect的安全特性,这要求用户在访问不同的系统或应用程序时使用他们的凭据登录。由于在单点登录机制中,用户最初使用自己的凭据登录访问多个资源,由于安全威胁,他的凭据可能会被滥用而被黑客攻击。因此,SSO特性需要改进,以保护用户凭证,并且应该合并到构建良好的身份验证机制中,例如一次性密码令牌,智能卡等。 |
| SSO通常使身份验证系统变得非常重要,因为有时它的可用性可能导致所有利用单点登录机制的系统都不可访问。此外,单点登录可以配置会话故障转移安全(SFS),以保持系统的正常运行。 |
五、企业为减少安全漏洞而采取的措施 |
| 根据研究显示,这些公司正在修改他们的安全模型,考虑到在社交网络上共享信息和推文。在使用社交媒体渠道时存在风险,这些渠道可能与具有一个或多个安全缺陷的web服务集成,这些安全缺陷通常没有得到很好的认识。这些公司正在教育客户,让他们对可能发生的事情保持警惕,并采取预防措施。他们甚至引导人们,让他们相信互联网不是一个私人的地方。一些像谷歌和亚马逊这样的巨头正在向用户宣传社交网站的优势和风险。一般来说,年轻用户更容易受到伤害,他们应该非常谨慎地照顾网上分享的信息。为了保护网上个人信息,需要重新设计一项由国家法律管辖的立法,同时也需要定义和保护网络环境中的数据所有权和行为。 |
 |
| 公司已经发现了一些需要注意的危险风险。他们首先提供了一些使用社交媒体的指导方针。雷竞技官网免责声明政策需要被用户接受,以便在通过公司帐户凭证浏览社交媒体时遵守可接受的使用政策。除此之外,通过单点登录的社交媒体访问在代理服务器和下一代防火墙的帮助下被部分阻止。开发人员应该提供一种技术解决方案,以捕获社交媒体的消息、邮件和聊天存储库,特别是那些紧密集成到社交网络站点中的消息、邮件和聊天存储库。 |
六。结论 |
| 当今世界认为,使用社交媒体是一项至关重要的任务。但他们不了解其背后的安全风险,比如社交媒体的影响,即可能会发生什么,会造成多大的损害。社交媒体与网络服务的整合已经被搁置了很多次,因为通道中的安全漏洞会吸引攻击者。虽然社交媒体整合确实是一个有益的附加到你的网站,可以产生更多的流量,并有助于搜索引擎优化以及)。然而,过多的社交媒体小部件会让你的网站处于混乱的状态,会让用户感到恼火。集成所涉及的web服务检索用户的信息很容易被黑客窃取为个人使用。 |
参考文献 |
|
