Picon bières

[EDIT] : bien entendu ces failles sont corrigés depuis un moment déjà par Facebook.

Ce n'est pas nouveau, mais peut-être certains sont passé à côté de l'information : depuis quelques mois les exploits Xss sont légions sur Facebook. Ces failles ont un nom, on les appelle les FAXX.

Voici 2 failles, qui ne sont pas de l'injection de code, mais simplement d'énormes trous dans la sécurité des APIs utilisées par Facebook.

La première faille fait froid dans le dos, elle s'applique à presque tous les profils Facebook.
Elle vous permet d'afficher l'album photo d'une personne comme si vous étiez sont amis, et cela même si vous ne faites pas parti de sa liste d'amis.
Les photos accessibles sont celles qui sont partagées en "Tout le monde" et "Mes amis".

Pour cela, rien de plus simple, enregistrez en marque page le lien suivant :Enregistres moi!
Rendez-vous sur le profil Facebook de n'importe qui et appelez ce marque page.
Si la personne partage des photos avec ses amis, vous devriez les voir apparaitre.

A priori Facebook est informé de ce problème. Espérons qu'un fix sera mis en place bientôt !

Source : Social Hacking
http://theharmonyguy.com/2009/12/17/easily-view-hidden-facebook-photo-albums/



Un autre exemple ?

Un peu plus technique à exploiter. Mais tout aussi flippant pour vos données privées : comment accéder à la liste des amis d'une personne qui les cache ?
Remplacez USERID dans l'URL par l'identifiant unique de l'utilisateur Facebook :
http://www.facebook.com/ajax/typeahead_friends.php?u=USERID&__a=1

Source : Social Hacking
http://theharmonyguy.com/2009/12/24/easily-view-hidden-facebook-friend-lists/