Archives par étiquette : Facebook

Le FBML permet-il de voir des infos sensibles ?

Ca faisait un bout de temps que j’avais pas écrit sur facebook en découvrant un petit détail pour les chatouiller un peu. Et bien on va résoudre ce problème aujourd’hui en nous penchant sur une partie de l’architecture très importante du réseau social : le FBML.

Et là vous me dites WTF ?

Le FBML est le langage de balises mis à disposition des développeurs par Facebook. C’est une version enrichie du HTML avec des fonctions propres à Facebook en quelques sortes. Je m’en suis relativement peu servi dans mes développements d’applis (en même temps j’en ai relativement peu développé aussi) mais la doc est très complète et assez explicite…

Je me suis intéressé à cette partie des développement sur Facebook pour une raison qui ne vous est pas étrangère si vous êtes un(e) habitué(e) de mon blog : les fanpage dont il faut devenir fan pour voir le contenu.

C’est en effet un seul tag FBML qui s’occupe de faire cela : <fb:if-is-app-user>Contenu à cacher</fb:if-is-app-user>.

Tout le texte contenu entre les deux balises est invisible aux « non-fans » de la page ou de l’application. Continuer la lecture

[Facebook] Trouver le créateur d’une fanpage (bis)

Cette méthode ne fonctionne plus et je n’ai pas de solution à vous proposer sur la nouvelle version de facebook.

Il semblerait que Facebook aime à me mettre des bâtons dans les roues quand je publie un tweak en rapport avec son site… En même temps, comme le site change d’aspect, de fonctionnalités et perd de son intérêt presque tous les jours il n’est pas étonnant qu’un article décrivant une méthode basée sur une interface donnée soit obsolète deux jours plus tard.

Comme vous vous en doutez, j’ai assez vite retrouvé une méthode pour identifier le créateur d’une fanpage… Cette méthode est, en plus, beaucoup plus simple…

Il suffit de se rendre à l’url qui suit en remplaçant [node_id] par l’id de la fanpage (une longue chaine de chiffres présente dans l’url) et [start] par le multiple de 10 directement inférieur au nombre de fans de la page.

http://www.facebook.com/social_graph.php?node_id=[node_id]&class=FanManager&start=[start]

Par exemple, pour la fanpage de BDG (node_id = 427819145176 et nombre de fans (actuels) = 2601) cela donne :

http://www.facebook.com/social_graph.php?node_id=427819145176&class=FanManager&start=2600

(Profitez-en pour devenir fan d’ailleurs, ça coute pas plus cher ;))

Notez au passage que la navigation disponible en bas de la liste des membres ne fonctionne pas au delà de 2000 personnes, mais que la saisie au clavier, directement dans l’url, de la page désirée se passe sans aucun soucis.

Facebook, Twitter : analyse d’une gestion de crise

En règle générale j’évite d’écrire sur l’actualité pour la simple et bonne raison que beaucoup de monde s’en charge déjà et que ça ne m’intéresse pas d’entrer dans une guerre de positionnement sur de la news.

Mais pour écrire cet article en particulier je vais devoir rebondir sur l’actualité de ces derniers jours : la mise à mal successive des deux plus gros réseaux sociaux actuellement en place par des failles à la limite du 0day et surtout la façon dont les deux start-ups devenues multinationales ont su (ou pas d’ailleurs) gérer la crise.

Les failles

Petit retour sur les deux failles dont je vais vous parler ici afin que vous puissiez suivre la gravité de la situation si vous étiez dans un igloo cette semaine.

Facebook

Mercredi dernier (le 5 mai donc), Techcrunch publie un article expliquant qu’une simple manipulation permet de voir le chat Facebook d’autres comptes que le sien. L’exploit est ultra-simple et permet aussi d’avoir accès aux dernières demandes d’ajout, derniers messages et dernières notifications. Il suffit pour cela de se rendre dans la partie « Privacy settings » (Paramètres de confidentialité) et d’utiliser la fonctionnalité permettant de voir son profil comme le voit un de ses amis.

En allant un peu plus loin on se rend compte qu’il suffit d’ajouter le paramètre ?viewas=[id du profil cible] à l’url de son profil personnel pour avoir accès à toutes ces informations sensibles – que l’on soit ami avec la personne ou non.

Twitter

Hier (le 10 mai donc), Gizmodo publie un article (supprimé depuis mais dont vous pouvez retrouver l’essence du contenu chez l’ami Korben – en français en plus !) expliquant que l’on peut, depuis l’interface web de twitter, et sans aucune connaissance en informatique là encore, forcer n’importe qui à devenir l’un de vos followers.

Il suffit pour cela, en lieu et place de votre statut, de taper « accept username » où username serait le nom d’utilisateur twitter de la personne que vous voulez voir apparaître dans votre liste de followers – « accept Paul_Da_Silva » par exemple…

Continuer la lecture

[Facebook] Voir le contenu d’une fanpage sans avoir à devenir fan

Je sais pas vous (enfin si j’ai quand même une vague idée) mais moi je suis fatigué de voir ce type de pages pulluler sur le réseau social des jeunes. Je veux bien sûr parler des fanpage dont il faut devenir membre pour voir le contenu. Souvent le contenu en question n’est pas des plus intéressant mais le titre est suffisamment aguicheur pour qu’un nombre colossal de pigeons se laissent avoir et oublient de quitter les groupes une fois le « précieux » contenu découvert. Ces listes de pigeons servent ensuite à envoyer de la pub soit via le mur soit directement par messages.

Je me suis un peu penché sur le problème et y ai trouvé une solution très simple et diablement efficace : une seule ligne de javascript (pondue par mes soins un jour de repos !) qui permet d’afficher le contenu caché sans avoir à rejoindre quoi que ce soit.

La ligne en question la voici :

javascript:spans=document.getElementById("tab_canvas").getElementsByTagName("span"); for(var sp in spans){spans[sp].style.visibility="visible"}

Pour que cela fonctionne il faut que vous soyez sur l’onglet de la page qui contient le contenu caché. Souvent il s’agit du premier onglet à être ouvert quand vous cliquez sur un lien. Ensuite vous avez deux solutions : la copier/coller dans la barre d’adresse à la place de l’url et valider avec la touche entrée comme si vous veniez d’entrer une réelle url. Ou, plus simple, ajouter un favoris dans votre navigateur dont l’adresse serait cette fameuse ligne. En plaçant le favoris dans la barre personnelle de Firefox par exemple vous n’aurez plus qu’à cliquer sur le bouton pour que le contenu de la page se mette à jour en direct.

Comment et pourquoi cela fonctionne

Le principe de ces pages est très simple : le créateur ajoute un onglet à sa page pour y faire figurer son contenu et décide de n’afficher le contenu qu’aux membres en le cachant aux autres dans un bête <span> caché par la propriété CSS visibility:hidden. Partant de là il suffit de parcourir tous les spans de la page affichée et de transformer la propriété visibility:hidden en visibility:visible.

Bien sûr cette méthode ne fonctionne que pour les balises <span> et uniquement si celles-ci ont été cachées en utilisant la propriété visibility. Mais jusqu’à présent je n’ai pas trouvé une seule page sur laquelle cela ne soit pas fait comme cela.

Petit conseil aux super développeurs qui ont pondu un concept du genre : utilisez des <div> ou d’autres balises et les propriétés display ou opacity pour continuer à ferrer du pigeon ! Et quand ça ne suffira plus il faudra songer à cacher le contenu côté serveur et à le faire apparaître en Ajax ^^

Retrouver le créateur d’une fanpage sur Facebook

Cette méthode ne fonctionne plus et je n’ai pas de solution à vous proposer sur la nouvelle version de facebook.

Je sais j’écris beaucoup à propos de Facebook ces derniers temps. Mais là j’ai trouvé un truc assez intéressant pour retrouver le créateur d’une page fan sur le réseau social le plus utilisé du moment.

Je vous préviens tout de suite, la technique est assez compliquée et implique de trifouiller un peu plus que d’habitude.

L’idée est assez simple à la base :  lorsque l’on affiche la liste des fans d’une page, ceux-ci sont affichés par ordre d’inscription – les derniers inscrits étant affichés en premier. Aussi, en toute logique, le créateur de la page doit-être le dernier de la liste aka le premier inscrit.

Lorsque la page n’a qu’un faible nombre de fans il est assez simple de tous les parcourir à la main – Mais si l’on s’attaque à un sujet hautement intellectuel tel que « Obliger un agent de la SNCF à travailler et le regarder pleurer » (exemple pris au hasard parmi les derniers statuts de mes amis facebook), on ne va pas s’amuser à parcourir xx pages à la main.

De quoi a-t-on besoin ?

Pour trouver cette astuce je me suis basé sur Firefox ainsi que deux de mes extensions préférées : Tamper Data et Firebug.

Avec Tamper Data on va modifier la requête envoyée par Facebook pour choisir d’afficher la dernière page – ceci va générer un bug et les données, bien que transmises, ne seront pas affichées – il faudra donc les lire à l’aide de Firebug.

Tamper Data

Tamper Data permet de modifier tous les paramètres d’une requête envoyée au serveur – qu’elle soit synchrone ou asynchrone. Cette extension est très pratique pour faire des essais en Ajax et avait déjà été utilisée dans un précédent hack qui permettait de visionner tous les profils Facebook, qu’ils soient publics ou non. Télécharger

Firebug

Je n’ai même pas envie de présenter cette extension tant vous auriez tort de ne pas déjà la connaître ! En l’occurrence elle va nous servir à analyser le retour d’une requête Ajax que le script côté client a du mal à rendre… C’est pas grave, on est plus fort que Chuck Norris, on lit directement le code source ! Télécharger

Continuer la lecture