Journal Facebook abus et failles

Posté par  . Licence CC By‑SA.
Étiquettes :
8
28
fév.
2011

Bonjour,

Certains n'aiment pas ce site communautaire Web 2.0, mais il reste quand même un des plus utilisé d'internet. Il peut même servir les révolutions!

Je ne vous écris pas au sujet de ce qu'il se déroule dans d'autres pays, mais de ce que je viens de rencontrer à mon insu.

Des petits malins exploitent le plugin "Like" de Facebook pour faire s'ajouter automatiquement des encarts, du style "I like" et "Share" sur le mur de l'utilisateur, à condition que celui-ci ait une session active. (Vive les cookies).

En gros, certains sites mettent des liens "J'aime" cachés dans les pages webs pour que du contenu s'ajoute automatiquement sur le profil sans que l'utilisateur l'ait choisi. Une magnifique propagation de l'information si à vos tours vos amis consultent ce lien/vidéo/image apparue sans demande sur votre mur et qui ira contaminer à son tour le leur.

J'écris donc pour prévenir de faire attention, ce n'est en soit pas très grave, mais peut-être très gênant selon le type de contenu qui s'ajoute.

Ca laisse ouvert les questions de sécurité Facebook, de ce genre de "virus web2.0" et ainsi de suite.

Deux sites incriminés pour le moment:

Vous trouverez le lien incriminé dans le code source des pages.

  • # Adblock Plus

    Posté par  (site web personnel) . Évalué à 10.

    La parade : une règle Adblock Plus contenant « facebook.com ». Comme ça on est immunisé contre ce genre de saloperie.

    • [^] # Re: Adblock Plus

      Posté par  (site web personnel) . Évalué à 2.

      Ou faire un profil Firefox qui ne sert qu'à Facebook.com.

      • [^] # Re: Adblock Plus

        Posté par  . Évalué à 8.

        Je plussoie, faire plusieurs profiles avec firefox c'est vraiment le pied, on peut avoir un profile courant, un profile facebook, un profile dev ce qui
        permet de n'avoir que les plugins dont on a besoin, en plus d'isoler les comptes. Et pour avoir plusieurs profiles actifs en même temps
        ProfileSwitcher est vraiment bien.

        En passant, l'addon HTTPS Everywhere de l'EFF est vraiment bien, mais il vaut mieux récupérer la version de dev
        qui contient bien plus de sites (dont dlfp).

        • [^] # Re: Adblock Plus

          Posté par  . Évalué à 3.

          C'est assez facile d'ajouter la règle pour linuxfr :

          $ cd /home/JGO/.mozilla/firefox/xxxxx.default/HTTPSEverywhereUserRules/ $ cat linuxfr.xml

          <ruleset name="linuxfr"> <target host="*.linuxfr.org" /> <target host="linuxfr.org" /> <target host="*.linuxfr.org" /> <rule from="^http://(www\.)?linuxfr\.org/" to="https://linuxfr.org/"/> </ruleset>

          Redémarrer firefox (pour que HTTPS Everywhere scanne le répertoire), puis aller dans la config de l'extension et vérifier que linuxfr est coché.

          • [^] # Re: Adblock Plus

            Posté par  . Évalué à 5.

            Pour ma part j'utilise la fonctionnalité de NoScript (plus simpliste, elle ne permet pas de faire des redirections complexes, juste de réécrire tous les http en https), que l'on peut activer avec les domaines que l'on veut.

            DLFP >> PCInpact > Numerama >> LinuxFr.org

          • [^] # Re: Adblock Plus

            Posté par  . Évalué à 2.

            Oui mais là il y en a vraiment beaucoup plus (+ de 300).

        • [^] # Re: Adblock Plus

          Posté par  . Évalué à 1.

          L'addon 'HTTPS Everywhere' provoque un truc bizarre sur mon Iceweasel/Firefox: la molette de la souris se met à zoomer/dézoomer au lieu de de faire défiler la page. Donc obligation de désactiver l'addon.

          "L'art est fait pour troubler. La science rassure" (Braque)

  • # tu cherches les emmerdes aussi.

    Posté par  . Évalué à 2.

    par curiosité, en ayant deconnecté mon facebook, je suis aller sur le why-bieber

    1°) ca ressemble à un youtube mais ce n'en est pas un 'logo FouTube', imitation grossiere

    2°) pour voir la video il te demande clairement à t'identifier avec ton compte facebook

    pour le cdrole.fr, il se consulte tres bien sans identifiant facebook.

    • [^] # Re: tu cherches les emmerdes aussi.

      Posté par  . Évalué à 5.

      je viens de tester avec mon profil fakebook activé, effectivement, sur le second lien, sans que je n'ai rien eu à faire d'autre que de cliquer sur la lecture, cela a indiqué sur mon profil que "j'aimais" cette vidéo.

      Par contre ça n'a apparemment pas fonctionné sur le premier.

      Astuce pour bloquer ça :

      http://lifehacker.com/#!5542041/block-sites-from-using-your-facebook-login-with-adblock-plus

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: tu cherches les emmerdes aussi.

        Posté par  . Évalué à 3.

        Pour le premier je ne sais pas. Je n'arrive plus à le reproduire mais c'est peut-être parce que j'ai enlevé le premier affichage de mon mur. Peut-être que Facebook a une "mémoire".

        Ce que je peux dire c'est que c'est arrivé à d'autres sur ce même site, je cherche la méthode pour le reproduire.

    • [^] # Re: tu cherches les emmerdes aussi.

      Posté par  (site web personnel) . Évalué à 5.

      1°) ca ressemble à un youtube mais ce n'en est pas un 'logo FouTube', imitation grossiere

      Ou une blague, je ne suis pas sûr de comprendre.

      2°) pour voir la video il te demande clairement à t'identifier avec ton compte facebook

      Bien avant de t'avoir demandé ça, ton navigateur est déjà allé faire une requette sur facebook. Dans le premier cas, il faut aller chercher au fin-fond d'une iframe pour trouver ça :

      <iframe src="http://www.facebook.com/plugins/like.php?href=http://why-bieber.info/index.php&amp;layout=stan...

      et pour le second :

      <iframe src="http://www.facebook.com/plugins/like.php?href=http://www.cdrole.fr/video-drole.php?vids...

      pour le cdrole.fr, il se consulte tres bien sans identifiant facebook.

      Ce n'est pas ça le problème. Le problème, c'est que si tu as un compte facebook actif, ça fait comme si tu avais cliqué sur « j'aime » alors que tu n'as jamais cliqué dessus. Si tu n'as pas de compte facebook, tu n'es pas concerné.

      Résultat, tu vas sur un site douteux, et tous tes amis facebook le voient (et s'empressent de cliquer à leur tour sur le lien, qui envoie le lien à leurs amis, et ainsi de suite).

      Le lien qui te demande de t'autentifier avec ton profile facebook, c'est juste pour rendre la faille plus efficace : si tu n'étais pas connecté au moment d'arriver sur le site, après avoir entré ton login/password, y'a plus d'ambiguité ;-).

      • [^] # Re: tu cherches les emmerdes aussi.

        Posté par  . Évalué à 10.

        J'aurais trouvé ça fun pour du porno. Histoire que des utilisateurs se retrouvent à montrer à leur famille et leur collègue de boulot quels sont leur orientation sexuelle (et au passage ça aurais permis de montrer avec une grande claque l'un des danger de ces trucs).

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

  • # et sur linuxfr

    Posté par  . Évalué à 10.

    je me demande si ce commentaire aura l'effet escompté

    plop

  • # un bon addon firefox

    Posté par  . Évalué à 7.

    pour élager tous les scripts qui loggent vos connections vers la plupart des sites web. Souvent on est impressionné par le nombre de scripts bloqués.

    http://www.ghostery.com/

    • [^] # Re: un bon addon firefox

      Posté par  (site web personnel, Mastodon) . Évalué à 1.

      Excellent outil, je connaissais pas.

    • [^] # Re: un bon addon firefox

      Posté par  . Évalué à 10. 

      You're all done - Ghostery is ready to use.

To learn the latest about Ghostery and user privacy across the web, check out our blog, follow us on Twitter, or visit our Facebook page.

      Je ne sais plus s'il faut rire ou pleurer, là.

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: un bon addon firefox

        Posté par  . Évalué à 3.

        je considère Ghostery plus comme un outil pédagogique qu'une vraie solution de blocage, cela dit je le recommande chaudement

    • [^] # Re: un bon addon firefox

      Posté par  (site web personnel) . Évalué à 6.

      Non.

      Installer un logiciel propriétaire contrôlé par une entreprise privée, pour se protéger des vilains sites webs traceurs, je crois pas que ce soit une bonne idée.

      Adblock Plus couplé à quelques filtres intelligents (http://adversity.uk.to/ « antisocial list » en bas), c’est bien mieux à mon avis. Au moins on sait ce qu’il fait ;)

  • # Lecture rapide

    Posté par  (site web personnel) . Évalué à 10.

    Certains n'aiment pas ce site communautaire Web 2.0, mais il reste quand même un des plus utilisé d'internet. Il peut même servir les révolutions!

    J'ai cru un instant (vraiment, c'est pas une blague) qu'on parlait de linuxfr.org :)

  • # Commentaire supprimé

    Posté par  . Évalué à 3.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Une solution : l'extension Karma Blocker pour Firefox

      Posté par  . Évalué à 3.

      En gros, c'est une méthode inefficace : - Les gens qui veulent vraiment faire de la traçabilité le peuvent - Ça donne une fausse impression d'avoir amélioré les choses - Ça fait déconner une partie des sites.

      A mon avis, on obtient les mêmes résultats avec les règles adblocks.

    • [^] # Re: Une solution : l'extension Karma Blocker pour Firefox

      Posté par  . Évalué à 0.

      (1) Je précise limiter car il est possible à site.domain.tld d'héberger un élément site.domain.tld/item.ext qui proxyfie en interne la requête vers le site souhaitant tracer les utilisateurs. Et ça ne m'étonnerait pas que la méthode soit d'ailleurs sûrement employée car si j'y ai pensé en voulant me protéger, je n'imagine pas que les gens dont les revenus dépendent du traçage des gens n'y aient pas penser :)

      La différence, c'est que dans ce cas là, ton browser ne va pas utiliser tes
      cookies de session Facebook.

  • # La solution ultime (vie privée)++

    Posté par  (site web personnel) . Évalué à 10.

    ...ne pas avoir de compte facebook. Si si, ça marche même avec Firefox, et sans extension !

    • [^] # Re: La solution ultime (vie privée)++

      Posté par  . Évalué à -1.

      et une solution encore plus sûre, c'est bien entendu de ne pas avoir internet...

      Juste comme ça, on en apprend plus sur ta vie privée depuis linuxfr et sur ton site, que si tu avais une page facebook où tu verrouillais tout (ou utilisait un compte anonyme ou "fake")

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: La solution ultime (vie privée)++

        Posté par  (site web personnel) . Évalué à 4.

        on en apprend plus sur ta vie privée depuis linuxfr et sur ton site, que si tu avais une page facebook

        Ça c'est pas ma vie privée, c'est ma vie publique, puisque je le publie.

        • [^] # Re: La solution ultime (vie privée)++

          Posté par  . Évalué à 2.

          sur facebook aussi c'est de la vie (semi) publique, puisque c'est publié par quelqu'un "dans un groupe d'amis". Après, ce qui est du domaine de la vie publique ou privée, c'est une affaire d'appréciation. Tout ce que j'ai pu publier sur facebook, je considérais ça comme de la vie publique.

          Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

          • [^] # Re: La solution ultime (vie privée)++

            Posté par  . Évalué à 1.

            IANAL, mais le concept de vie privée et vie publique est aussi défini par la loi.

            Par exemple en Belgique et dans le cadre du droit à l'image, tu ne peux pas publier de photos de quelqu'un sans son accord sauf dans certains cas précis, par exemple:

            • la personne participe à une manifestation publique (une soirée entre potes ne compte pas, on parle plutôt d'une manifestation etc)
            • la personne participe à une soirée organisée, etc. où les participants sont explicitement avertis de la possibilité de prendre et publier des photos (auquel cas l'accord est implicite)
            • la personne n'est pas le sujet principal de la photo (par exemple le photographe voulait photographier un bâtiment public mais la personne passant devant à ce moment)

            Il n'existe pas de concept de vie semi-publique, c'est juste que les gens ne savent pas / ignorent sciement ce droit, et il n'est guère pratique d'aller au tribunal face à tous ses "amis de Facebook"...

    • [^] # Re: La solution ultime (vie privée)++

      Posté par  . Évalué à 2.

      Énormément de webmestres placent des balises sur leurs sites qui permettent à Facebook (et d'autres) d'identifier les internautes et leurs consultations, qu'ils disposent d'un compte sur Facebook ou non.

      Facebook affirme disposer d'outils qui le rendent capable de reconnaître automatiquement les gens dont les visages sont marqués suffisamment de fois (une douzaine je crois) dans sa base de données. Il suffit en gros que 4 utilisés utilisateurs de cette « plate-forme » diffusent chacun 3 photos de toi pour que l'entreprise puisse se faire du pognon rien que parce que tu existes (que tu as des fréquentations et un visage).

      Ta solution est ultimement désuète, et les grosses lunettes de ton avatar ne te protègeront pas non plus.

  • # Y'a pas que ça

    Posté par  . Évalué à 3.

    Le coup de polluer Facebook avec plein de merdes du genre n'est pas nouveau. Depuis plusieurs mois déjà, on a vu pulluler des pages intitulées "INCROYABLE la photo de <insérer une star ici> avant son opération de la hanche !" et autres "Les 10 phrases les plus romantiques du monde !!!!!!", pages pour lesquelles il faut devenir fan pour pouvoir en voir le contenu, puis cliquer sur quelques liens publicitaires, tout ça pour trouver un truc qu'une recherche Google aurait retourné encore plus rapidement.

    Maintenant que Facebook peut s'incruster dans le net entier, certains petits malins réutilisent la combine ailleurs. C'est moche, et il aurait été bien que, d'une, Facebook empêche ce genre de choses (en interdisant de masquer le contenu d'une page aux non fans par exemple), et de deux, les gens soient un peu moins con en cliquant là dessus :)

    • [^] # Re: Y'a pas que ça

      Posté par  . Évalué à 3.

      et de deux, les gens soient un peu moins con en cliquant là dessus

      Vaste programme !

  • # Une solution avec adblock plus

    Posté par  . Évalué à 5.

    Pour ne pas ajouter un nouveau plugin, vous pouvez utiliser adblock+ et le filtre facebook privacy list :

    J'ai testé avec les dernières versions de firefox et chromium, je conseille vivement :)

  • # Facebook fail!

    Posté par  (site web personnel) . Évalué à 6. 

    <div style="overflow: hidden; width: 100px; height: 100px; position: absolute; filter:alpha(opacity=0); -moz-opacity:0.0; -khtml-opacity: 0.0;opacity: 0.0;" id="fbLikeFrame"><iframe src="http://www.facebook.com/plugins/like.php?href=http://just1n.info/index.php&amp;layout=standard&amp;show_faces=false&amp;width=450&amp;action=like&amp;font=tahoma&amp;colorscheme=light&amp;height=80" scrolling="no" frameborder="0" style="border:none; overflow:hidden; width:50px; height:23px;" allowTransparency="true" id="fbframe" name="fbframe"></iframe></div>

    Ho ! Un beau script du début du siècle qui utilise GET au lieu de POST et qui n'utilise pas de token unique pour confirmer l'action ! Facebook est en faute, c'est grave de voir ce genre d'amateurisme en 2011.

    • [^] # Re: Facebook fail!

      Posté par  . Évalué à 2.

      Arf je me demandais si on pouvais faire la même chose avec les votes sur linuxfr. Mais c'est du post + token...

    • [^] # Re: Facebook fail!

      Posté par  . Évalué à 1.

      Mmm pour un ignorant en la matiere, qu'est ce que ca permet pour que ce soit un fail?
      Merci d'eclairer ma lanterne!

      • [^] # Re: Facebook fail!

        Posté par  (site web personnel) . Évalué à 1.

        Normalement, les scripts qui effectue des actions doivent prendre leurs paramètres dans $_POST et il doit y avoir un token unique qui garanti que l'origine est bien le site attendu (aka que c'est l'utilisateur qui a cliquer sur quelque chose sur le site).
        Ici, il n'y a pas ce token donc n'importe quel site peut effectuer des actions sans interaction humaine.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.