The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Facebook заблокировал KIPI-плагин KDE и удалил все загруженные с его помощью фотографии

28.06.2011 18:55

Пользователи KIPI-плагина (KDE Image Plugin Interface), в котором реализована поддержка API для загрузки фотографий в Facebook из различных программ KDE, столкнулись с невозможностью использования данной системы из-за её блокировки со стороны Facebook. Более того, все загруженные c использованием KIPI-плагина фотографии были без предупреждения удалены из профилей пользователей. Из приложений, использующих данный плагин, можно отметить digiKam и Gwenview.

Судя по всему, блокировка, а точнее аннулирование связанного с плагином Facebook Application, связана с действием службы безопасности, которая заблокировала плагин за одно с прикрывающимся его именем спамерским ботом. Как оказалось, притвориться KIPI-плагином мог любой желающий, так как секретный ключ для доступа к API Facebook с использованием метода OAuth2 был указан в открытом виде в коде плагина (79 строка в файле fbtalker.cpp). Злоумышленники могли воспользоваться этой лазейкой и начать рассылать спам, указывая параметры аутентификации KIPI-плагина.

В качестве решения проблемы рассматривается возможность регистрации нового приложения Facebook и пересмотр метода аутентификации для обеспечения доступа к сервису (например, задействование прокси для трансляции от своего имени запросов клиентов к Facebook). Удастся ли восстановить удаленные фотографии пока неизвестно. Представители Facebook пока только рекомендовали оформить апелляцию на действие администрации, в случае принятия которой фотографии могут быть восстановлены.

Дополнение: Facebook удовлетворил апелляцию и убрал параметры приложения из черного списка. Все исчезнувшие из профилей фотографии вновь доступны.

  1. Главная ссылка к новости (http://lizards.opensuse.org/20...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/31024-kde
Ключевые слова: kde, facebook
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (41) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, EuPhobos (ok), 22:06, 28/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Вот вам и соц. сети. Администрация решила почувствовать себя богами. Долбанули несколько миллионов фотографий, а ведь в основном пользователи загружая фоты в соц.сети сразу затирают их в своих девайсах не думая о том, что можно сделать локальные бэкапы, а теперь наверняка горем убиваются. "Ой там же были мои фотки со свадьбы! Ой там же фотки с рождения моего сына. Ой там же ... ... ... "
    Ой.. Не хорошо это злорадствовать) Но пользователи соц.сетей наивные глупцы!
    Сами виноваты.
     
     
  • 2.3, Maresias (ok), 22:11, 28/06/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, можно использовать для продвижения своего сайта, лишняя ссылка на своей странице в лицокниге не помешает. А фотки заливать, типа общаться и всячески убивать там время, конечно, незачем.

     
     
  • 3.4, EuPhobos (ok), 22:17, 28/06/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да я сам зарегистрирован в этих сетях, бываю раз в месяц, да и под псевдонимом. И то, только для того, что бы узнать биографию нужного человека. Как же наивно о себе люди выкладывают всё в одном месте.
     
     
  • 4.22, Zenittur (?), 04:23, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Да я сам зарегистрирован в этих сетях, бываю раз в месяц, да
    > и под псевдонимом.

    И под Tor'ом

     
     
  • 5.25, Саша (??), 08:02, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И через сомалийский VPN.
     
  • 5.33, EuPhobos (ok), 09:33, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да, под Tor-ом и с мобилки.
     
  • 2.10, Хануидианин (?), 23:18, 28/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Как в киндза-дза. Они к нам насыпятся, а мы на них плевать будем. Удовольствие получать.
     
  • 2.21, Zenittur (?), 04:22, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ты бы не сравнивал фейсбук с его клонами.
     
     
  • 3.49, Аноним (-), 15:47, 30/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А какая разница? Фэйсбук от клонов отличается не так уж и сильно. Вон в вкотнакте тоже отожгли и вывалили списки друзей публично. Вот хомячки икру метали когда их списки любовниц попали на глаза жен и прочая. Одного поля ягоды :)))
     
     
  • 4.58, Аноним (-), 11:56, 01/07/2011 [^] [^^] [^^^] [ответить]  
  • +/
    http://tractor.1nsk.ru/blog/1.html
     
  • 2.26, тигар (ok), 08:16, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    нужно быть полным дауном  чтобы удалить важные для тебя фотографии после помещения их в любую соцсеть/не личный сервер. ты уверен что у твоих дружков которые так делают все ок?
     
     
  • 3.55, Аноним (-), 17:28, 30/06/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > нужно быть полным дауном

    ...чтобы пользоваться лохотронами типа фэйсбуков. //fixed

     

  • 1.5, Аноним (5), 22:22, 28/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    интересн какой процент фоток загружены этим плагином и много ли народу с фасебука сидят на кде
     
     
  • 2.12, AdVv (ok), 00:17, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Есть мнение что мизерный
     

  • 1.9, gegMOPO4 (ok), 23:14, 28/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > секретный ключ для доступа к API Facebook с использованием метода OAuth2 был указан в открытом виде в коде плагина (79 строка в файле fbtalker.cpp)

    ССЗБ. И пользователей подставили.

     
  • 1.13, Аноним (-), 00:37, 29/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как бе, опенсорс. Как подругому впилить ключ.... =\
     
  • 1.14, Sylvia (ok), 00:49, 29/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    что самое смешное, что спамеры сейчас утянут OAuth ключ с любого другого приложения (то что оно может быть бинарным или даже шифрованным не дает особенно защиты все равно), и что ФБ снова будет массово удалять фотки? смешно )
     
     
  • 2.18, SkyRanger (ok), 03:41, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > что самое смешное, что спамеры сейчас утянут OAuth ключ с любого другого
    > приложения (то что оно может быть бинарным или даже шифрованным не
    > дает особенно защиты все равно), и что ФБ снова будет массово
    > удалять фотки? смешно )

    А ФБ пофиг, они ничего и никому не обязаны.

     
     
  • 3.52, Аноним (-), 15:57, 30/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А ФБ пофиг, они ничего и никому не обязаны.

    Да пусть гасят хомячков, правильно. Больше хомячков отрастит мозг.

     
  • 2.38, Аноним (-), 11:00, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > и что ФБ снова будет массово удалять фотки? смешно )

    У них и так уже отрицательная динамика роста пользователей. А после того как вы юзеру потрете фотки - врядли он воспылает по этому поводу благодарностями. Впрочем, а чего было ожидать то? Цукенберг помнится недвусмысленно классифицировал своих пользователей: "dumb fucks". Ну так вот, к господам тупым е;%ланам почему-то все относятся как к ... тупым е%$ланам.

     

  • 1.17, Аноним (-), 03:26, 29/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > секретный ключ для доступа к API Facebook с использованием метода OAuth2 был указан в открытом виде в коде плагина (79 строка в файле fbtalker.cpp).

    фейспалм в исполнении Краснознаменного ансамбля песни и пляски им. Александрова.

    я раньше думал, что такое только в кровавом ынтерпрайзе бывает. скажем, в процессинге платежных карт логин/пароль к базе клиром в профиле пользователя указан. а тут вот оно как, Семеныч...

     
     
  • 2.34, brother anon (?), 09:44, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А что им ещё делать то? Хоть куда положи ключ, если это опенсорс ключ будет у всех на виду.
    Я например last.fm перестал использовать по причине такого же корявого API. Из принципа. Нельзя так дискриминировать опенсорс.
     
     
  • 3.43, Аноним (-), 16:38, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А ключ при компиляции, скажем, в ./configure спрашивать не cудьба? И опенсорц и ключ только у доверенных лиц.
     
     
  • 4.44, brother anon (?), 17:48, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А ключ при компиляции, скажем, в ./configure спрашивать не cудьба? И опенсорц
    > и ключ только у доверенных лиц.

    Как собирать пакеты в этом случае? Все ключи должны быть вписаны авторами пакетов, поэтому любой обладатель пакета с исходниками сможет его прочитать.
    Ключ в ./configure это не решение проблемы, а просто выталкивание её на следующий уровень.

     
  • 2.39, Аноним (-), 11:01, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > я раньше думал, что такое только в кровавом ынтерпрайзе бывает.

    Кэп намекает что эти акулы бизнеса не сильно отличаются от Ынтерпрайзных.

     

  • 1.20, Zenittur (?), 04:21, 29/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > секретный ключ для доступа к API Facebook с использованием метода OAuth2 был указан в открытом виде в коде плагина (79 строка в файле fbtalker.cpp)

    Странные они. Не Facebook, а авторы плагина. Как они не побоялись распространять в GPL-коде секретный ключ? Неудивительно, что раз он известен, то вскоре появился и спам-бот.

     
     
  • 2.24, anonymous (??), 07:48, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Странные они. Не Facebook, а авторы плагина.

    Чушь ! Как раз виноваты файсбуки-программеры. Что еще за секретный ключ ?
    Може ВАМ еще доступ к фасебуку сделать по секретному ключу ?
    ( без логина и пароля на акаунте )

    Бред какой то ...

     
     
  • 3.27, Дядька (?), 08:18, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Пользователь идентифицируется по логину и паролю... приложение по ключу. Одно без другого не работает. В каком месте бред? Какие альтернативы?
     
     
  • 4.30, anonymous (??), 08:38, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Пользователь идентифицируется по логину и паролю... приложение по ключу. Одно без другого
    > не работает. В каком месте бред? Какие альтернативы?

    Убрать ключ.

    Или Вы хотите сказать что ВСЕ ВОЗМОЖНЫЕ БРАУЗЕРЫ ТОЖЕ ИМЕЮТ КЛЮЧ ДЛЯ ФАЙСАБУКА ?

     
  • 4.31, anonymous (??), 08:45, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Пользователь идентифицируется по логину и паролю... приложение по ключу. Одно без другого
    > не работает. В каком месте бред? Какие альтернативы?

    Извините .... сразу не дописал.

    Хорошо бы еще указать по чему идентифитируется компьютер и соедение с инетом ( для кучи )
    ?

    P.S. Если их волоновал бы вопрос безопасности и тд они хотябы глянули как ЭТО
    сделано в гугуле-кли, которым заливаются фотки (и тд ) из командной строки.

     
     
  • 5.32, skybon (ok), 09:25, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • –7 +/
    То есть, предлагаете юзверям заливать фотки из командной строки? Ну-ну, кразноглазьте дальше.
     
     
  • 6.35, xxx (??), 09:53, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Чем по твоему консольное приложение отличается от гуёвого в плане доступа к сервисам гугла?
     
     
  • 7.42, dd (??), 13:32, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    В "плане доступа" - ничем (по крайней мере, так должно быть).

    Отличие в пользователях, а не в программах: пользователи консольного клиента для Фейсбука отличаются "кразноглазием" :)

     
  • 4.41, dd (??), 13:27, 29/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Бред - в использовании секретного неизменного ключа.

    Альтернатива - вместо этого секретного ключа использовать обычный уникальный session id, который выдается сервером после каждого входа пользователя на сервер по своему логину/паролю.

    Так что присоединяюсь к ранее высказавшемуся товарищу: программисты Фейсбука - ламеры криворукие.

     

  • 1.36, Аноним (-), 10:42, 29/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нафиг все эти извраты? Чел приходит в соц-сеть отдыхать и общаться, а не писать аппеляции и выяснять отношения с администрацией
     
     
  • 2.53, Аноним (-), 16:00, 30/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Нафиг все эти извраты? Чел приходит в соц-сеть отдыхать и общаться, а
    > не писать аппеляции и выяснять отношения с администрацией

    У хомячков свои цели, а у администрации - свои. Более другие. Думаете, администрация подобных ресурсов - настолько дауны, чтобы ставить главной целью осчастливливание хомячков? Хомячки о себе слишком хорошего мнения :).Судя по действиям администраций фэйсбуковконтактиокв - это не так.

     

  • 1.40, Аноним (-), 12:51, 29/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > секретный ключ для доступа к API Facebook

    А почему нельзя по логину/паролю пользователя заливать фотки пользователя?

     
     
  • 2.48, Lain_13 (?), 15:45, 30/06/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому, что "dumb fucks" у них не только пользователи…
     
     
  • 3.54, Аноним (-), 16:05, 30/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому, что "dumb fucks" у них не только пользователи…

    Какая администрация, такие и юзеры. Чего и следовало ожидать :)

     

  • 1.46, хихихи (?), 11:01, 30/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не понятно, зачем ключ для доступа к АПИ секретный?
     
     
  • 2.47, dct (??), 12:02, 30/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Чего не понятного то? Чтобы в любой прекрасный момент, любое приложение, можно было отлучить от доступа к телу одним мановением пальца.

    Что в общемто и наблюдается...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру