Journal Facebook abus et failles

Posté par . Licence CC by-sa
8
28
fév.
2011

Bonjour,

Certains n'aiment pas ce site communautaire Web 2.0, mais il reste quand même un des plus utilisé d'internet. Il peut même servir les révolutions!

Je ne vous écris pas au sujet de ce qu'il se déroule dans d'autres pays, mais de ce que je viens de rencontrer à mon insu.

Des petits malins exploitent le plugin "Like" de Facebook pour faire s'ajouter automatiquement des encarts, du style "I like" et "Share" sur le mur de l'utilisateur, à condition que celui-ci ait une session active. (Vive les cookies).

En gros, certains sites mettent des liens "J'aime" cachés dans les pages webs pour que du contenu s'ajoute automatiquement sur le profil sans que l'utilisateur l'ait choisi. Une magnifique propagation de l'information si à vos tours vos amis consultent ce lien/vidéo/image apparue sans demande sur votre mur et qui ira contaminer à son tour le leur.

J'écris donc pour prévenir de faire attention, ce n'est en soit pas très grave, mais peut-être très gênant selon le type de contenu qui s'ajoute.

Ca laisse ouvert les questions de sécurité Facebook, de ce genre de "virus web2.0" et ainsi de suite.

Deux sites incriminés pour le moment:

Vous trouverez le lien incriminé dans le code source des pages.

  • # Adblock Plus

    Posté par (page perso) . Évalué à 10.

    La parade : une règle Adblock Plus contenant « facebook.com ». Comme ça on est immunisé contre ce genre de saloperie.

    • [^] # Re: Adblock Plus

      Posté par (page perso) . Évalué à 2.

      Ou faire un profil Firefox qui ne sert qu'à Facebook.com.

      • [^] # Re: Adblock Plus

        Posté par . Évalué à 8.

        Je plussoie, faire plusieurs profiles avec firefox c'est vraiment le pied, on peut avoir un profile courant, un profile facebook, un profile dev ce qui
        permet de n'avoir que les plugins dont on a besoin, en plus d'isoler les comptes. Et pour avoir plusieurs profiles actifs en même temps
        ProfileSwitcher est vraiment bien.

        En passant, l'addon HTTPS Everywhere de l'EFF est vraiment bien, mais il vaut mieux récupérer la version de dev
        qui contient bien plus de sites (dont dlfp).

        • [^] # Re: Adblock Plus

          Posté par . Évalué à 3.

          C'est assez facile d'ajouter la règle pour linuxfr :

          $ cd /home/JGO/.mozilla/firefox/xxxxx.default/HTTPSEverywhereUserRules/ $ cat linuxfr.xml

          <ruleset name="linuxfr"> <target host="*.linuxfr.org" /> <target host="linuxfr.org" /> <target host="*.linuxfr.org" /> <rule from="^http://(www\.)?linuxfr\.org/" to="https://linuxfr.org/"/> </ruleset>

          Redémarrer firefox (pour que HTTPS Everywhere scanne le répertoire), puis aller dans la config de l'extension et vérifier que linuxfr est coché.

          • [^] # Re: Adblock Plus

            Posté par (page perso) . Évalué à 5.

            Pour ma part j'utilise la fonctionnalité de NoScript (plus simpliste, elle ne permet pas de faire des redirections complexes, juste de réécrire tous les http en https), que l'on peut activer avec les domaines que l'on veut.

            DLFP >> PCInpact > Numerama >> LinuxFr.org

          • [^] # Re: Adblock Plus

            Posté par . Évalué à 2.

            Oui mais là il y en a vraiment beaucoup plus (+ de 300).

        • [^] # Re: Adblock Plus

          Posté par . Évalué à 1.

          L'addon 'HTTPS Everywhere' provoque un truc bizarre sur mon Iceweasel/Firefox: la molette de la souris se met à zoomer/dézoomer au lieu de de faire défiler la page. Donc obligation de désactiver l'addon.

          "L'art est fait pour troubler. La science rassure" (Braque)

  • # tu cherches les emmerdes aussi.

    Posté par . Évalué à 2.

    par curiosité, en ayant deconnecté mon facebook, je suis aller sur le why-bieber

    1°) ca ressemble à un youtube mais ce n'en est pas un 'logo FouTube', imitation grossiere

    2°) pour voir la video il te demande clairement à t'identifier avec ton compte facebook

    pour le cdrole.fr, il se consulte tres bien sans identifiant facebook.

    • [^] # Re: tu cherches les emmerdes aussi.

      Posté par . Évalué à 5.

      je viens de tester avec mon profil fakebook activé, effectivement, sur le second lien, sans que je n'ai rien eu à faire d'autre que de cliquer sur la lecture, cela a indiqué sur mon profil que "j'aimais" cette vidéo.

      Par contre ça n'a apparemment pas fonctionné sur le premier.

      Astuce pour bloquer ça :

      http://lifehacker.com/#!5542041/block-sites-from-using-your-facebook-login-with-adblock-plus

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: tu cherches les emmerdes aussi.

        Posté par . Évalué à 3.

        Pour le premier je ne sais pas. Je n'arrive plus à le reproduire mais c'est peut-être parce que j'ai enlevé le premier affichage de mon mur. Peut-être que Facebook a une "mémoire".

        Ce que je peux dire c'est que c'est arrivé à d'autres sur ce même site, je cherche la méthode pour le reproduire.

    • [^] # Re: tu cherches les emmerdes aussi.

      Posté par (page perso) . Évalué à 5.

      1°) ca ressemble à un youtube mais ce n'en est pas un 'logo FouTube', imitation grossiere

      Ou une blague, je ne suis pas sûr de comprendre.

      2°) pour voir la video il te demande clairement à t'identifier avec ton compte facebook

      Bien avant de t'avoir demandé ça, ton navigateur est déjà allé faire une requette sur facebook. Dans le premier cas, il faut aller chercher au fin-fond d'une iframe pour trouver ça :

      <iframe src="http://www.facebook.com/plugins/like.php?href=http://why-bieber.info/index.php&amp;layout=stan...

      et pour le second :

      <iframe src="http://www.facebook.com/plugins/like.php?href=http://www.cdrole.fr/video-drole.php?vids...

      pour le cdrole.fr, il se consulte tres bien sans identifiant facebook.

      Ce n'est pas ça le problème. Le problème, c'est que si tu as un compte facebook actif, ça fait comme si tu avais cliqué sur « j'aime » alors que tu n'as jamais cliqué dessus. Si tu n'as pas de compte facebook, tu n'es pas concerné.

      Résultat, tu vas sur un site douteux, et tous tes amis facebook le voient (et s'empressent de cliquer à leur tour sur le lien, qui envoie le lien à leurs amis, et ainsi de suite).

      Le lien qui te demande de t'autentifier avec ton profile facebook, c'est juste pour rendre la faille plus efficace : si tu n'étais pas connecté au moment d'arriver sur le site, après avoir entré ton login/password, y'a plus d'ambiguité ;-).

      • [^] # Re: tu cherches les emmerdes aussi.

        Posté par . Évalué à 10.

        J'aurais trouvé ça fun pour du porno. Histoire que des utilisateurs se retrouvent à montrer à leur famille et leur collègue de boulot quels sont leur orientation sexuelle (et au passage ça aurais permis de montrer avec une grande claque l'un des danger de ces trucs).

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

  • # et sur linuxfr

    Posté par . Évalué à 10.

    je me demande si ce commentaire aura l'effet escompté

    plop

  • # un bon addon firefox

    Posté par . Évalué à 7.

    pour élager tous les scripts qui loggent vos connections vers la plupart des sites web. Souvent on est impressionné par le nombre de scripts bloqués.

    http://www.ghostery.com/

    • [^] # Re: un bon addon firefox

      Posté par (page perso) . Évalué à 1.

      Excellent outil, je connaissais pas.

    • [^] # Re: un bon addon firefox

      Posté par . Évalué à 10.

      You're all done - Ghostery is ready to use.
      
      To learn the latest about Ghostery and user privacy across the web, check out our blog, follow us on Twitter, or visit our Facebook page.   
      

      Je ne sais plus s'il faut rire ou pleurer, là.

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: un bon addon firefox

        Posté par . Évalué à 3.

        je considère Ghostery plus comme un outil pédagogique qu'une vraie solution de blocage, cela dit je le recommande chaudement

    • [^] # Re: un bon addon firefox

      Posté par (page perso) . Évalué à 6.

      Non.

      Installer un logiciel propriétaire contrôlé par une entreprise privée, pour se protéger des vilains sites webs traceurs, je crois pas que ce soit une bonne idée.

      Adblock Plus couplé à quelques filtres intelligents (http://adversity.uk.to/ « antisocial list » en bas), c’est bien mieux à mon avis. Au moins on sait ce qu’il fait ;)

  • # Lecture rapide

    Posté par (page perso) . Évalué à 10.

    Certains n'aiment pas ce site communautaire Web 2.0, mais il reste quand même un des plus utilisé d'internet. Il peut même servir les révolutions!

    J'ai cru un instant (vraiment, c'est pas une blague) qu'on parlait de linuxfr.org :)

  • # Une solution : l'extension Karma Blocker pour Firefox

    Posté par . Évalué à 3.

    Une méthode efficace et générique pour lutter contre le traçage consiste à bloquer tout contenu tiers lorsqu'on visite un site de manière à limiter (1) des fuites menaçant la vie privée de chacun. Comment ? Tout simplement avec l'extension Karma Blocker avec le fichier de configuration basique suivant :

    [Settings]
    threshold=10
    cutoff=100
    
    [Group]
    score=10000
    rule=$thirdParty==true
    

    Cette configuration simpliste n'est évidemment pas parfaite et ne sert que d'exemple et de début pour illustrer mon propos. Elle a en effet des inconvénients : si je visite www.domaine.tld et que celui-ci utilise images.domain.tld pour héberger ses images, celles-ci n'apparaîtront pas sur la page visitée. Les personnes gênées par cela pourront aller plus loin et la personnaliser en ajoutant les règles d'exceptions adaptées à leur sites favoris du genre « si je visite www.domain.tld, ne pas bloquer les éléments de images.domain.tld » avec un score supérieur à la règle de blocage. Se référer à la documentation de karma Blocker - simple mais complète - pour plus de détails ainsi qu'au fichier de configuration par défaut qui est un bon départ pour apprendre, malgré qu'il soit beaucoup plus évolué que mon exemple simpliste.

    (1) Je précise limiter car il est possible à site.domain.tld d'héberger un élément site.domain.tld/item.ext qui proxyfie en interne la requête vers le site souhaitant tracer les utilisateurs. Et ça ne m'étonnerait pas que la méthode soit d'ailleurs sûrement employée car si j'y ai pensé en voulant me protéger, je n'imagine pas que les gens dont les revenus dépendent du traçage des gens n'y aient pas penser :)

    « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

    • [^] # Re: Une solution : l'extension Karma Blocker pour Firefox

      Posté par (page perso) . Évalué à 3.

      En gros, c'est une méthode inefficace : - Les gens qui veulent vraiment faire de la traçabilité le peuvent - Ça donne une fausse impression d'avoir amélioré les choses - Ça fait déconner une partie des sites.

      A mon avis, on obtient les mêmes résultats avec les règles adblocks.

      • [^] # Re: Une solution : l'extension Karma Blocker pour Firefox

        Posté par . Évalué à 2.

        « En gros, c'est une méthode inefficace »

        La protection de la vie privée et la mise en place de mesure de sécurité ont toujours été une question de compromis avec le confort apparent, et Karma Blocker ne changera pas cela. Ensuite libre à chacun d'évaluer, de mettre en place et d'accepter de perdre une partie de son confort apparent pour mieux se protéger.

        « Les gens qui veulent vraiment faire de la traçabilité le peuvent »

        Capitaine Évidence.

        « A mon avis, on obtient les mêmes résultats avec les règles adblocks. »

        L'avantage de Karma Blocker ainsi configuré est justement que quand il est activé, il rend AdBlock inutile, la quasi-totalité des publicités étant hébergées sur des sites tiers. Cependant ça ne rend pas AdBlock superflu car en fait, j'utilise AdBlock en complément de Karma Blocker, en activant soit l'un, soit l'autre : j'active AdBlock sur les sites où je désactive Karma Blocker, et je désactive AdBlock quand Karma Blocker est activé.

        Pour information, Karma Blocker s'active/se désactive d'un seul clic sur son icône logée dans la barre de statut. De plus, il fournit aussi un moniteur de requête avec le statut bloqué/autorisé des éléments d'une page, ainsi que le nom de règle associée qui aurait été utilisée.C'est vraiment un outil relativement facile et pratique, et donc l'action est très légère comparée à AdBlock qui se repose sur la concordance de centaines - voir de milliers - d'expressions rationnelles.

        « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

    • [^] # Re: Une solution : l'extension Karma Blocker pour Firefox

      Posté par . Évalué à 0.

      (1) Je précise limiter car il est possible à site.domain.tld d'héberger un élément site.domain.tld/item.ext qui proxyfie en interne la requête vers le site souhaitant tracer les utilisateurs. Et ça ne m'étonnerait pas que la méthode soit d'ailleurs sûrement employée car si j'y ai pensé en voulant me protéger, je n'imagine pas que les gens dont les revenus dépendent du traçage des gens n'y aient pas penser :)

      La différence, c'est que dans ce cas là, ton browser ne va pas utiliser tes
      cookies de session Facebook.

  • # La solution ultime (vie privée)++

    Posté par (page perso) . Évalué à 10.

    ...ne pas avoir de compte facebook. Si si, ça marche même avec Firefox, et sans extension !

    • [^] # Re: La solution ultime (vie privée)++

      Posté par . Évalué à -1.

      et une solution encore plus sûre, c'est bien entendu de ne pas avoir internet...

      Juste comme ça, on en apprend plus sur ta vie privée depuis linuxfr et sur ton site, que si tu avais une page facebook où tu verrouillais tout (ou utilisait un compte anonyme ou "fake")

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: La solution ultime (vie privée)++

        Posté par (page perso) . Évalué à 4.

        on en apprend plus sur ta vie privée depuis linuxfr et sur ton site, que si tu avais une page facebook

        Ça c'est pas ma vie privée, c'est ma vie publique, puisque je le publie.

        • [^] # Re: La solution ultime (vie privée)++

          Posté par . Évalué à 2.

          sur facebook aussi c'est de la vie (semi) publique, puisque c'est publié par quelqu'un "dans un groupe d'amis". Après, ce qui est du domaine de la vie publique ou privée, c'est une affaire d'appréciation. Tout ce que j'ai pu publier sur facebook, je considérais ça comme de la vie publique.

          Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

          • [^] # Re: La solution ultime (vie privée)++

            Posté par . Évalué à 1.

            IANAL, mais le concept de vie privée et vie publique est aussi défini par la loi.

            Par exemple en Belgique et dans le cadre du droit à l'image, tu ne peux pas publier de photos de quelqu'un sans son accord sauf dans certains cas précis, par exemple:

            • la personne participe à une manifestation publique (une soirée entre potes ne compte pas, on parle plutôt d'une manifestation etc)
            • la personne participe à une soirée organisée, etc. où les participants sont explicitement avertis de la possibilité de prendre et publier des photos (auquel cas l'accord est implicite)
            • la personne n'est pas le sujet principal de la photo (par exemple le photographe voulait photographier un bâtiment public mais la personne passant devant à ce moment)

            Il n'existe pas de concept de vie semi-publique, c'est juste que les gens ne savent pas / ignorent sciement ce droit, et il n'est guère pratique d'aller au tribunal face à tous ses "amis de Facebook"...

    • [^] # Re: La solution ultime (vie privée)++

      Posté par . Évalué à 2.

      Énormément de webmestres placent des balises sur leurs sites qui permettent à Facebook (et d'autres) d'identifier les internautes et leurs consultations, qu'ils disposent d'un compte sur Facebook ou non.

      Facebook affirme disposer d'outils qui le rendent capable de reconnaître automatiquement les gens dont les visages sont marqués suffisamment de fois (une douzaine je crois) dans sa base de données. Il suffit en gros que 4 utilisés utilisateurs de cette « plate-forme » diffusent chacun 3 photos de toi pour que l'entreprise puisse se faire du pognon rien que parce que tu existes (que tu as des fréquentations et un visage).

      Ta solution est ultimement désuète, et les grosses lunettes de ton avatar ne te protègeront pas non plus.

  • # Y'a pas que ça

    Posté par . Évalué à 3.

    Le coup de polluer Facebook avec plein de merdes du genre n'est pas nouveau. Depuis plusieurs mois déjà, on a vu pulluler des pages intitulées "INCROYABLE la photo de <insérer une star ici> avant son opération de la hanche !" et autres "Les 10 phrases les plus romantiques du monde !!!!!!", pages pour lesquelles il faut devenir fan pour pouvoir en voir le contenu, puis cliquer sur quelques liens publicitaires, tout ça pour trouver un truc qu'une recherche Google aurait retourné encore plus rapidement.

    Maintenant que Facebook peut s'incruster dans le net entier, certains petits malins réutilisent la combine ailleurs. C'est moche, et il aurait été bien que, d'une, Facebook empêche ce genre de choses (en interdisant de masquer le contenu d'une page aux non fans par exemple), et de deux, les gens soient un peu moins con en cliquant là dessus :)

    • [^] # Re: Y'a pas que ça

      Posté par . Évalué à 3.

      et de deux, les gens soient un peu moins con en cliquant là dessus

      Vaste programme !

  • # Une solution avec adblock plus

    Posté par . Évalué à 5.

    Pour ne pas ajouter un nouveau plugin, vous pouvez utiliser adblock+ et le filtre facebook privacy list :

    J'ai testé avec les dernières versions de firefox et chromium, je conseille vivement :)

  • # Facebook fail!

    Posté par (page perso) . Évalué à 6.

    <div style="overflow: hidden; width: 100px; height: 100px; position: absolute; filter:alpha(opacity=0); -moz-opacity:0.0; -khtml-opacity: 0.0;opacity: 0.0;" id="fbLikeFrame"><iframe src="http://www.facebook.com/plugins/like.php?href=http://just1n.info/index.php&amp;layout=standard&amp;show_faces=false&amp;width=450&amp;action=like&amp;font=tahoma&amp;colorscheme=light&amp;height=80" scrolling="no" frameborder="0" style="border:none; overflow:hidden; width:50px; height:23px;" allowTransparency="true" id="fbframe" name="fbframe"></iframe></div>

    Ho ! Un beau script du début du siècle qui utilise GET au lieu de POST et qui n'utilise pas de token unique pour confirmer l'action ! Facebook est en faute, c'est grave de voir ce genre d'amateurisme en 2011.

    • [^] # Re: Facebook fail!

      Posté par . Évalué à 2.

      Arf je me demandais si on pouvais faire la même chose avec les votes sur linuxfr. Mais c'est du post + token...

    • [^] # Re: Facebook fail!

      Posté par . Évalué à 1.

      Mmm pour un ignorant en la matiere, qu'est ce que ca permet pour que ce soit un fail?
      Merci d'eclairer ma lanterne!

      • [^] # Re: Facebook fail!

        Posté par (page perso) . Évalué à 1.

        Normalement, les scripts qui effectue des actions doivent prendre leurs paramètres dans $_POST et il doit y avoir un token unique qui garanti que l'origine est bien le site attendu (aka que c'est l'utilisateur qui a cliquer sur quelque chose sur le site).
        Ici, il n'y a pas ce token donc n'importe quel site peut effectuer des actions sans interaction humaine.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.