Facebook заблокировал KIPI-плагин KDE и удалил все загруженные с его помощью фотографии

28.06.2011 18:55

Пользователи KIPI-плагина (KDE Image Plugin Interface), в котором реализована поддержка API для загрузки фотографий в Facebook из различных программ KDE, столкнулись с невозможностью использования данной системы из-за её блокировки со стороны Facebook. Более того, все загруженные c использованием KIPI-плагина фотографии были без предупреждения удалены из профилей пользователей. Из приложений, использующих данный плагин, можно отметить digiKam и Gwenview.

Судя по всему, блокировка, а точнее аннулирование связанного с плагином Facebook Application, связана с действием службы безопасности, которая заблокировала плагин за одно с прикрывающимся его именем спамерским ботом. Как оказалось, притвориться KIPI-плагином мог любой желающий, так как секретный ключ для доступа к API Facebook с использованием метода OAuth2 был указан в открытом виде в коде плагина (79 строка в файле fbtalker.cpp). Злоумышленники могли воспользоваться этой лазейкой и начать рассылать спам, указывая параметры аутентификации KIPI-плагина.

В качестве решения проблемы рассматривается возможность регистрации нового приложения Facebook и пересмотр метода аутентификации для обеспечения доступа к сервису (например, задействование прокси для трансляции от своего имени запросов клиентов к Facebook). Удастся ли восстановить удаленные фотографии пока неизвестно. Представители Facebook пока только рекомендовали оформить апелляцию на действие администрации, в случае принятия которой фотографии могут быть восстановлены.

Дополнение: Facebook удовлетворил апелляцию и убрал параметры приложения из черного списка. Все исчезнувшие из профилей фотографии вновь доступны.

исправить –6 +/–

Главная ссылка к новости (http://lizards.opensuse.org/20...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/31024-kde

Ключевые слова: kde, facebook

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (41)

1.2, EuPhobos (ok), 22:06, 28/06/2011 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+5 +/–
Вот вам и соц. сети. Администрация решила почувствовать себя богами. Долбанули несколько миллионов фотографий, а ведь в основном пользователи загружая фоты в соц.сети сразу затирают их в своих девайсах не думая о том, что можно сделать локальные бэкапы, а теперь наверняка горем убиваются. "Ой там же были мои фотки со свадьбы! Ой там же фотки с рождения моего сына. Ой там же ... ... ... " Ой.. Не хорошо это злорадствовать) Но пользователи соц.сетей наивные глупцы! Сами виноваты.

2.3, Maresias (ok), 22:11, 28/06/2011 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Ну, можно использовать для продвижения своего сайта, лишняя ссылка на своей странице в лицокниге не помешает. А фотки заливать, типа общаться и всячески убивать там время, конечно, незачем.

3.4, EuPhobos (ok), 22:17, 28/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Да я сам зарегистрирован в этих сетях, бываю раз в месяц, да и под псевдонимом. И то, только для того, что бы узнать биографию нужного человека. Как же наивно о себе люди выкладывают всё в одном месте.

4.22, Zenittur (?), 04:23, 29/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> Да я сам зарегистрирован в этих сетях, бываю раз в месяц, да > и под псевдонимом. И под Tor'ом

5.25, Саша (??), 08:02, 29/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
И через сомалийский VPN.

5.33, EuPhobos (ok), 09:33, 29/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Да-да, под Tor-ом и с мобилки.

2.10, Хануидианин (?), 23:18, 28/06/2011 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Как в киндза-дза. Они к нам насыпятся, а мы на них плевать будем. Удовольствие получать.

2.21, Zenittur (?), 04:22, 29/06/2011 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Ты бы не сравнивал фейсбук с его клонами.

3.49, Аноним (-), 15:47, 30/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
А какая разница? Фэйсбук от клонов отличается не так уж и сильно. Вон в вкотнакте тоже отожгли и вывалили списки друзей публично. Вот хомячки икру метали когда их списки любовниц попали на глаза жен и прочая. Одного поля ягоды :)))

4.58, Аноним (-), 11:56, 01/07/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
http://tractor.1nsk.ru/blog/1.html

2.26, тигар (ok), 08:16, 29/06/2011 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
нужно быть полным дауном чтобы удалить важные для тебя фотографии после помещения их в любую соцсеть/не личный сервер. ты уверен что у твоих дружков которые так делают все ок?

3.55, Аноним (-), 17:28, 30/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
> нужно быть полным дауном ...чтобы пользоваться лохотронами типа фэйсбуков. //fixed

1.5, Аноним (5), 22:22, 28/06/2011 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
интересн какой процент фоток загружены этим плагином и много ли народу с фасебука сидят на кде

2.12, AdVv (ok), 00:17, 29/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Есть мнение что мизерный

1.9, gegMOPO4 (ok), 23:14, 28/06/2011 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
> секретный ключ для доступа к API Facebook с использованием метода OAuth2 был указан в открытом виде в коде плагина (79 строка в файле fbtalker.cpp) ССЗБ. И пользователей подставили.

1.13, Аноним (-), 00:37, 29/06/2011 [ответить] [﹢﹢﹢] [ · · · ] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Как бе, опенсорс. Как подругому впилить ключ.... =\

1.14, Sylvia (ok), 00:49, 29/06/2011 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
что самое смешное, что спамеры сейчас утянут OAuth ключ с любого другого приложения (то что оно может быть бинарным или даже шифрованным не дает особенно защиты все равно), и что ФБ снова будет массово удалять фотки? смешно )

2.18, SkyRanger (ok), 03:41, 29/06/2011 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+3 +/–

> что самое смешное, что спамеры сейчас утянут OAuth ключ с любого другого
> приложения (то что оно может быть бинарным или даже шифрованным не
> дает особенно защиты все равно), и что ФБ снова будет массово
> удалять фотки? смешно )

А ФБ пофиг, они ничего и никому не обязаны.

3.52, Аноним (-), 15:57, 30/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> А ФБ пофиг, они ничего и никому не обязаны. Да пусть гасят хомячков, правильно. Больше хомячков отрастит мозг.

2.38, Аноним (-), 11:00, 29/06/2011 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> и что ФБ снова будет массово удалять фотки? смешно ) У них и так уже отрицательная динамика роста пользователей. А после того как вы юзеру потрете фотки - врядли он воспылает по этому поводу благодарностями. Впрочем, а чего было ожидать то? Цукенберг помнится недвусмысленно классифицировал своих пользователей: "dumb fucks". Ну так вот, к господам тупым е;%ланам почему-то все относятся как к ... тупым е%$ланам.

1.17, Аноним (-), 03:26, 29/06/2011 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+1 +/–

> секретный ключ для доступа к API Facebook с использованием метода OAuth2 был указан в открытом виде в коде плагина (79 строка в файле fbtalker.cpp).

фейспалм в исполнении Краснознаменного ансамбля песни и пляски им. Александрова.

я раньше думал, что такое только в кровавом ынтерпрайзе бывает. скажем, в процессинге платежных карт логин/пароль к базе клиром в профиле пользователя указан. а тут вот оно как, Семеныч...

2.34, brother anon (?), 09:44, 29/06/2011 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
А что им ещё делать то? Хоть куда положи ключ, если это опенсорс ключ будет у всех на виду. Я например last.fm перестал использовать по причине такого же корявого API. Из принципа. Нельзя так дискриминировать опенсорс.

3.43, Аноним (-), 16:38, 29/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
А ключ при компиляции, скажем, в ./configure спрашивать не cудьба? И опенсорц и ключ только у доверенных лиц.

4.44, brother anon (?), 17:48, 29/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
> А ключ при компиляции, скажем, в ./configure спрашивать не cудьба? И опенсорц > и ключ только у доверенных лиц. Как собирать пакеты в этом случае? Все ключи должны быть вписаны авторами пакетов, поэтому любой обладатель пакета с исходниками сможет его прочитать. Ключ в ./configure это не решение проблемы, а просто выталкивание её на следующий уровень.

2.39, Аноним (-), 11:01, 29/06/2011 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> я раньше думал, что такое только в кровавом ынтерпрайзе бывает. Кэп намекает что эти акулы бизнеса не сильно отличаются от Ынтерпрайзных.

1.20, Zenittur (?), 04:21, 29/06/2011 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–1 +/–
> секретный ключ для доступа к API Facebook с использованием метода OAuth2 был указан в открытом виде в коде плагина (79 строка в файле fbtalker.cpp) Странные они. Не Facebook, а авторы плагина. Как они не побоялись распространять в GPL-коде секретный ключ? Неудивительно, что раз он известен, то вскоре появился и спам-бот.

2.24, anonymous (??), 07:48, 29/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

> Странные они. Не Facebook, а авторы плагина.

Чушь ! Как раз виноваты файсбуки-программеры. Что еще за секретный ключ ?
Може ВАМ еще доступ к фасебуку сделать по секретному ключу ?
( без логина и пароля на акаунте )

Бред какой то ...

3.27, Дядька (?), 08:18, 29/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Пользователь идентифицируется по логину и паролю... приложение по ключу. Одно без другого не работает. В каком месте бред? Какие альтернативы?

4.30, anonymous (??), 08:38, 29/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

> Пользователь идентифицируется по логину и паролю... приложение по ключу. Одно без другого
> не работает. В каком месте бред? Какие альтернативы?

Убрать ключ.

Или Вы хотите сказать что ВСЕ ВОЗМОЖНЫЕ БРАУЗЕРЫ ТОЖЕ ИМЕЮТ КЛЮЧ ДЛЯ ФАЙСАБУКА ?

4.31, anonymous (??), 08:45, 29/06/2011 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+1 +/–

Извините .... сразу не дописал.

Хорошо бы еще указать по чему идентифитируется компьютер и соедение с инетом ( для кучи )
?

P.S. Если их волоновал бы вопрос безопасности и тд они хотябы глянули как ЭТО
сделано в гугуле-кли, которым заливаются фотки (и тд ) из командной строки.

5.32, skybon (ok), 09:25, 29/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–7 +/–
То есть, предлагаете юзверям заливать фотки из командной строки? Ну-ну, кразноглазьте дальше.

6.35, xxx (??), 09:53, 29/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
Чем по твоему консольное приложение отличается от гуёвого в плане доступа к сервисам гугла?

7.42, dd (??), 13:32, 29/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
В "плане доступа" - ничем (по крайней мере, так должно быть). Отличие в пользователях, а не в программах: пользователи консольного клиента для Фейсбука отличаются "кразноглазием" :)

4.41, dd (??), 13:27, 29/06/2011 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

Бред - в использовании секретного неизменного ключа.

Альтернатива - вместо этого секретного ключа использовать обычный уникальный session id, который выдается сервером после каждого входа пользователя на сервер по своему логину/паролю.

Так что присоединяюсь к ранее высказавшемуся товарищу: программисты Фейсбука - ламеры криворукие.

1.36, Аноним (-), 10:42, 29/06/2011 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Нафиг все эти извраты? Чел приходит в соц-сеть отдыхать и общаться, а не писать аппеляции и выяснять отношения с администрацией

2.53, Аноним (-), 16:00, 30/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> Нафиг все эти извраты? Чел приходит в соц-сеть отдыхать и общаться, а > не писать аппеляции и выяснять отношения с администрацией У хомячков свои цели, а у администрации - свои. Более другие. Думаете, администрация подобных ресурсов - настолько дауны, чтобы ставить главной целью осчастливливание хомячков? Хомячки о себе слишком хорошего мнения :).Судя по действиям администраций фэйсбуковконтактиокв - это не так.

1.40, Аноним (-), 12:51, 29/06/2011 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+3 +/–
> секретный ключ для доступа к API Facebook А почему нельзя по логину/паролю пользователя заливать фотки пользователя?

2.48, Lain_13 (?), 15:45, 30/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Потому, что "dumb fucks" у них не только пользователи…

3.54, Аноним (-), 16:05, 30/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> Потому, что "dumb fucks" у них не только пользователи… Какая администрация, такие и юзеры. Чего и следовало ожидать :)

1.46, хихихи (?), 11:01, 30/06/2011 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Не понятно, зачем ключ для доступа к АПИ секретный?

2.47, dct (??), 12:02, 30/06/2011 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Чего не понятного то? Чтобы в любой прекрасный момент, любое приложение, можно было отлучить от доступа к телу одним мановением пальца. Что в общемто и наблюдается...

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: