Bonjour,
Certains n'aiment pas ce site communautaire Web 2.0, mais il reste quand même un des plus utilisé d'internet. Il peut même servir les révolutions!
Je ne vous écris pas au sujet de ce qu'il se déroule dans d'autres pays, mais de ce que je viens de rencontrer à mon insu.
Des petits malins exploitent le plugin "Like" de Facebook pour faire s'ajouter automatiquement des encarts, du style "I like" et "Share" sur le mur de l'utilisateur, à condition que celui-ci ait une session active. (Vive les cookies).
En gros, certains sites mettent des liens "J'aime" cachés dans les pages webs pour que du contenu s'ajoute automatiquement sur le profil sans que l'utilisateur l'ait choisi. Une magnifique propagation de l'information si à vos tours vos amis consultent ce lien/vidéo/image apparue sans demande sur votre mur et qui ira contaminer à son tour le leur.
J'écris donc pour prévenir de faire attention, ce n'est en soit pas très grave, mais peut-être très gênant selon le type de contenu qui s'ajoute.
Ca laisse ouvert les questions de sécurité Facebook, de ce genre de "virus web2.0" et ainsi de suite.
Deux sites incriminés pour le moment:
girlcatched.info - redirige vers http://why-bieber.info/
Vous trouverez le lien incriminé dans le code source des pages.
# Adblock Plus
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 10.
La parade : une règle Adblock Plus contenant « facebook.com ». Comme ça on est immunisé contre ce genre de saloperie.
[^] # Re: Adblock Plus
Posté par Fabimaru (site web personnel) . Évalué à 2.
Ou faire un profil Firefox qui ne sert qu'à Facebook.com.
[^] # Re: Adblock Plus
Posté par daimrod . Évalué à 8.
Je plussoie, faire plusieurs profiles avec firefox c'est vraiment le pied, on peut avoir un profile courant, un profile facebook, un profile dev ce qui
permet de n'avoir que les plugins dont on a besoin, en plus d'isoler les comptes. Et pour avoir plusieurs profiles actifs en même temps
ProfileSwitcher est vraiment bien.
En passant, l'addon HTTPS Everywhere de l'EFF est vraiment bien, mais il vaut mieux récupérer la version de dev
qui contient bien plus de sites (dont dlfp).
[^] # Re: Adblock Plus
Posté par JGO . Évalué à 3.
C'est assez facile d'ajouter la règle pour linuxfr :
$ cd /home/JGO/.mozilla/firefox/xxxxx.default/HTTPSEverywhereUserRules/ $ cat linuxfr.xml
<ruleset name="linuxfr"> <target host="*.linuxfr.org" /> <target host="linuxfr.org" /> <target host="*.linuxfr.org" /> <rule from="^http://(www\.)?linuxfr\.org/" to="https://linuxfr.org/"/> </ruleset>
Redémarrer firefox (pour que HTTPS Everywhere scanne le répertoire), puis aller dans la config de l'extension et vérifier que linuxfr est coché.
[^] # Re: Adblock Plus
Posté par DLFP est mort . Évalué à 5.
Pour ma part j'utilise la fonctionnalité de NoScript (plus simpliste, elle ne permet pas de faire des redirections complexes, juste de réécrire tous les http en https), que l'on peut activer avec les domaines que l'on veut.
DLFP >> PCInpact > Numerama >> LinuxFr.org
[^] # Re: Adblock Plus
Posté par daimrod . Évalué à 2.
Oui mais là il y en a vraiment beaucoup plus (+ de 300).
[^] # Re: Adblock Plus
Posté par maderios . Évalué à 1.
L'addon 'HTTPS Everywhere' provoque un truc bizarre sur mon Iceweasel/Firefox: la molette de la souris se met à zoomer/dézoomer au lieu de de faire défiler la page. Donc obligation de désactiver l'addon.
"L'art est fait pour troubler. La science rassure" (Braque)
[^] # Re: Adblock Plus
Posté par daimrod . Évalué à 1.
Il te fait ça sur tous les sites ?
Parce que certains sites sont « cassés » avec https (mais c'est indiqué dans les préférences).
[^] # Re: Adblock Plus
Posté par maderios . Évalué à 1.
Oui, tous les sites et je l'ai donc désactivé.
Par contre, j'arrive toujours à me connecter normalement ici, avec l'addon désactivé sans ce zoomage intempestif:
https://bit.ly/ https://twitter.com/ https://encrypted.google.com/webhp?hl=fr https://encrypted.google.com/webhp?hl=en
"L'art est fait pour troubler. La science rassure" (Braque)
# tu cherches les emmerdes aussi.
Posté par NeoX . Évalué à 2.
par curiosité, en ayant deconnecté mon facebook, je suis aller sur le why-bieber
1°) ca ressemble à un youtube mais ce n'en est pas un 'logo FouTube', imitation grossiere
2°) pour voir la video il te demande clairement à t'identifier avec ton compte facebook
pour le cdrole.fr, il se consulte tres bien sans identifiant facebook.
[^] # Re: tu cherches les emmerdes aussi.
Posté par B16F4RV4RD1N . Évalué à 5.
je viens de tester avec mon profil fakebook activé, effectivement, sur le second lien, sans que je n'ai rien eu à faire d'autre que de cliquer sur la lecture, cela a indiqué sur mon profil que "j'aimais" cette vidéo.
Par contre ça n'a apparemment pas fonctionné sur le premier.
Astuce pour bloquer ça :
http://lifehacker.com/#!5542041/block-sites-from-using-your-facebook-login-with-adblock-plus
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: tu cherches les emmerdes aussi.
Posté par Dysen . Évalué à 3.
Pour le premier je ne sais pas. Je n'arrive plus à le reproduire mais c'est peut-être parce que j'ai enlevé le premier affichage de mon mur. Peut-être que Facebook a une "mémoire".
Ce que je peux dire c'est que c'est arrivé à d'autres sur ce même site, je cherche la méthode pour le reproduire.
[^] # Re: tu cherches les emmerdes aussi.
Posté par Matthieu Moy (site web personnel) . Évalué à 5.
Ou une blague, je ne suis pas sûr de comprendre.
Bien avant de t'avoir demandé ça, ton navigateur est déjà allé faire une requette sur facebook. Dans le premier cas, il faut aller chercher au fin-fond d'une iframe pour trouver ça :
<iframe src="http://www.facebook.com/plugins/like.php?href=http://why-bieber.info/index.php&layout=stan...
et pour le second :
<iframe src="http://www.facebook.com/plugins/like.php?href=http://www.cdrole.fr/video-drole.php?vids...
Ce n'est pas ça le problème. Le problème, c'est que si tu as un compte facebook actif, ça fait comme si tu avais cliqué sur « j'aime » alors que tu n'as jamais cliqué dessus. Si tu n'as pas de compte facebook, tu n'es pas concerné.
Résultat, tu vas sur un site douteux, et tous tes amis facebook le voient (et s'empressent de cliquer à leur tour sur le lien, qui envoie le lien à leurs amis, et ainsi de suite).
Le lien qui te demande de t'autentifier avec ton profile facebook, c'est juste pour rendre la faille plus efficace : si tu n'étais pas connecté au moment d'arriver sur le site, après avoir entré ton login/password, y'a plus d'ambiguité ;-).
[^] # Re: tu cherches les emmerdes aussi.
Posté par barmic . Évalué à 10.
J'aurais trouvé ça fun pour du porno. Histoire que des utilisateurs se retrouvent à montrer à leur famille et leur collègue de boulot quels sont leur orientation sexuelle (et au passage ça aurais permis de montrer avec une grande claque l'un des danger de ces trucs).
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
# et sur linuxfr
Posté par M . Évalué à 10.
je me demande si ce commentaire aura l'effet escompté
# un bon addon firefox
Posté par j0akim . Évalué à 7.
pour élager tous les scripts qui loggent vos connections vers la plupart des sites web. Souvent on est impressionné par le nombre de scripts bloqués.
http://www.ghostery.com/
[^] # Re: un bon addon firefox
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 1.
Excellent outil, je connaissais pas.
#tracim pour la collaboration d'équipe __ #galae pour la messagerie email __ dirigeant @ algoo
[^] # Re: un bon addon firefox
Posté par Grunt . Évalué à 10.
Je ne sais plus s'il faut rire ou pleurer, là.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: un bon addon firefox
Posté par Gniarf . Évalué à 3.
je considère Ghostery plus comme un outil pédagogique qu'une vraie solution de blocage, cela dit je le recommande chaudement
[^] # Re: un bon addon firefox
Posté par louiz’ (site web personnel) . Évalué à 6.
Non.
Installer un logiciel propriétaire contrôlé par une entreprise privée, pour se protéger des vilains sites webs traceurs, je crois pas que ce soit une bonne idée.
Adblock Plus couplé à quelques filtres intelligents (http://adversity.uk.to/ « antisocial list » en bas), c’est bien mieux à mon avis. Au moins on sait ce qu’il fait ;)
# Lecture rapide
Posté par Bruce Le Nain (site web personnel) . Évalué à 10.
J'ai cru un instant (vraiment, c'est pas une blague) qu'on parlait de linuxfr.org :)
# Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Une solution : l'extension Karma Blocker pour Firefox
Posté par grid . Évalué à 3.
En gros, c'est une méthode inefficace : - Les gens qui veulent vraiment faire de la traçabilité le peuvent - Ça donne une fausse impression d'avoir amélioré les choses - Ça fait déconner une partie des sites.
A mon avis, on obtient les mêmes résultats avec les règles adblocks.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Une solution : l'extension Karma Blocker pour Firefox
Posté par moules . Évalué à 0.
La différence, c'est que dans ce cas là, ton browser ne va pas utiliser tes
cookies de session Facebook.
# La solution ultime (vie privée)++
Posté par Florence Birée (site web personnel) . Évalué à 10.
...ne pas avoir de compte facebook. Si si, ça marche même avec Firefox, et sans extension !
[^] # Re: La solution ultime (vie privée)++
Posté par B16F4RV4RD1N . Évalué à -1.
et une solution encore plus sûre, c'est bien entendu de ne pas avoir internet...
Juste comme ça, on en apprend plus sur ta vie privée depuis linuxfr et sur ton site, que si tu avais une page facebook où tu verrouillais tout (ou utilisait un compte anonyme ou "fake")
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: La solution ultime (vie privée)++
Posté par Florence Birée (site web personnel) . Évalué à 4.
Ça c'est pas ma vie privée, c'est ma vie publique, puisque je le publie.
[^] # Re: La solution ultime (vie privée)++
Posté par B16F4RV4RD1N . Évalué à 2.
sur facebook aussi c'est de la vie (semi) publique, puisque c'est publié par quelqu'un "dans un groupe d'amis". Après, ce qui est du domaine de la vie publique ou privée, c'est une affaire d'appréciation. Tout ce que j'ai pu publier sur facebook, je considérais ça comme de la vie publique.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: La solution ultime (vie privée)++
Posté par nud . Évalué à 1.
IANAL, mais le concept de vie privée et vie publique est aussi défini par la loi.
Par exemple en Belgique et dans le cadre du droit à l'image, tu ne peux pas publier de photos de quelqu'un sans son accord sauf dans certains cas précis, par exemple:
Il n'existe pas de concept de vie semi-publique, c'est juste que les gens ne savent pas / ignorent sciement ce droit, et il n'est guère pratique d'aller au tribunal face à tous ses "amis de Facebook"...
[^] # Re: La solution ultime (vie privée)++
Posté par thamieu . Évalué à 2.
Énormément de webmestres placent des balises sur leurs sites qui permettent à Facebook (et d'autres) d'identifier les internautes et leurs consultations, qu'ils disposent d'un compte sur Facebook ou non.
Facebook affirme disposer d'outils qui le rendent capable de reconnaître automatiquement les gens dont les visages sont marqués suffisamment de fois (une douzaine je crois) dans sa base de données. Il suffit en gros que 4
utilisésutilisateurs de cette « plate-forme » diffusent chacun 3 photos de toi pour que l'entreprise puisse se faire du pognon rien que parce que tu existes (que tu as des fréquentations et un visage).Ta solution est ultimement désuète, et les grosses lunettes de ton avatar ne te protègeront pas non plus.
[^] # Re: La solution ultime (vie privée)++
Posté par claudex . Évalué à 3.
Il n'a peut-être pas d'amis, c'est la meilleure solution actuellement.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: La solution ultime (vie privée)++
Posté par Florence Birée (site web personnel) . Évalué à 1.
Mais si, j'en ai 41, regarde : http://per.sonn.es/Florian+Bir%C3%A9e (bientôt 42 !)
# Y'a pas que ça
Posté par Moogle . Évalué à 3.
Le coup de polluer Facebook avec plein de merdes du genre n'est pas nouveau. Depuis plusieurs mois déjà, on a vu pulluler des pages intitulées "INCROYABLE la photo de <insérer une star ici> avant son opération de la hanche !" et autres "Les 10 phrases les plus romantiques du monde !!!!!!", pages pour lesquelles il faut devenir fan pour pouvoir en voir le contenu, puis cliquer sur quelques liens publicitaires, tout ça pour trouver un truc qu'une recherche Google aurait retourné encore plus rapidement.
Maintenant que Facebook peut s'incruster dans le net entier, certains petits malins réutilisent la combine ailleurs. C'est moche, et il aurait été bien que, d'une, Facebook empêche ce genre de choses (en interdisant de masquer le contenu d'une page aux non fans par exemple), et de deux, les gens soient un peu moins con en cliquant là dessus :)
[^] # Re: Y'a pas que ça
Posté par aedrin . Évalué à 3.
Vaste programme !
# Une solution avec adblock plus
Posté par scullder . Évalué à 5.
Pour ne pas ajouter un nouveau plugin, vous pouvez utiliser adblock+ et le filtre facebook privacy list :
J'ai testé avec les dernières versions de firefox et chromium, je conseille vivement :)
# Facebook fail!
Posté par inico (site web personnel) . Évalué à 6.
Ho ! Un beau script du début du siècle qui utilise GET au lieu de POST et qui n'utilise pas de token unique pour confirmer l'action ! Facebook est en faute, c'est grave de voir ce genre d'amateurisme en 2011.
[^] # Re: Facebook fail!
Posté par M . Évalué à 2.
Arf je me demandais si on pouvais faire la même chose avec les votes sur linuxfr. Mais c'est du post + token...
[^] # Re: Facebook fail!
Posté par Vincent . Évalué à 1.
C'est activé par défaut dans rails.
[^] # Re: Facebook fail!
Posté par glattering . Évalué à 1.
Mmm pour un ignorant en la matiere, qu'est ce que ca permet pour que ce soit un fail?
Merci d'eclairer ma lanterne!
[^] # Re: Facebook fail!
Posté par inico (site web personnel) . Évalué à 1.
Normalement, les scripts qui effectue des actions doivent prendre leurs paramètres dans $_POST et il doit y avoir un token unique qui garanti que l'origine est bien le site attendu (aka que c'est l'utilisateur qui a cliquer sur quelque chose sur le site).
Ici, il n'y a pas ce token donc n'importe quel site peut effectuer des actions sans interaction humaine.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.