Vu dans la newsletter GrosBill de ce week end :

Merde, j’avais oublié… Ca vous gache un lundi ça !
On vit vraiment dans un pays formidable ! Taxes, taxes, taxes, quel bonheur !

Ce qui est sympa avec Google Agenda (Google Calendar) c’est qu’on peut « partager » son agenda avec la Terre entière.

Interressant…

Moi honnêtement, ce n’est pas ce que je ferais mais certains le font et le font bien… Je pense même parfois sans le savoir… Et c’est là que ça devient encore plus sympa car Google possède un moteur de recherche pour ses agenda.

Donc vous tapez le nom d’une personne ou alors de quelque-chose suceptible de se retrouver dans l’agenda ou d’être le nom de l’agenda et bingo, vous entrez à 200 km/h dans la vie privée « des gens qui n’ont pas fait gaffe et qui ont partagé leur agenda« .

Au travers de mes recherches, je suis tombé par exemple sur des rendez vous pris chez le psy, ou chez le docteur (avec son nom), des petits rendez vous à la banque, ou encore des réunions avec des entreprises (dont le nom est connu)… Bref, toute la vie privée des gens et c’est flippant de savoir qu’il suffit de taper le nom de quelqu’un qu’on connait ou alors simplement les mots « Personnel » ou « Perso » pour obtenir l’agenda de quelqu’un et savoir son nom, ce qu’il fait, le nom de ses amis…Etc

Je ne sais pas si ce partage et volontaire ou non, mais je suis parfois tombé sur des trucs qui me font penser que soit le mec ou la nana sont exhibitionnistes et se croient dans LoftStory, soient ils se sont planté en partageant leur agenda.

Voilà… Donc si vous êtes voyeur (ou détective), n’hésitez pas à tester Google Agenda… Et si vous utilisez ce service, faites gaffe quand vous partager des trucs. C’est surtout pour cela que je voulais vous prévenir.

Cliquez ici pour aller sur Google Agenda

Voici une petite fonction PHP qui vous permettra de vous connecter à une URL via le réseau TOR. Il suffit juste d’avoir TOR d’installé sur votre machine. Plus pratique qu’un proxy en tout cas…


function tor_wrapper($url){
$ua = array('Mozilla','Opera','Microsoft Internet Explorer','ia_archiver');
$op = array('Windows','Windows XP','Linux','Windows NT','Windows 2000','OSX');
$agent = $ua[rand(0,3)].'/'.rand(1,8).'.'.rand(0,9).' ('.$op[rand(0,5)].' '.rand(1,7).'.'.rand(0,9).'; en-US;)';

# Adresse et port du TOR
$tor = '127.0.0.1:9050';
# Mettez un TimeOut
$timeout = '300';

$ack = curl_init();
curl_setopt ($ack, CURLOPT_PROXY, $tor);
curl_setopt ($ack, CURLOPT_URL, $url);
curl_setopt ($ack, CURLOPT_HEADER, 1);
curl_setopt ($ack, CURLOPT_USERAGENT, $agent);
curl_setopt ($ack, CURLOPT_RETURNTRANSFER, 1);
curl_setopt ($ack, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt ($ack, CURLOPT_TIMEOUT, $timeout);

$syn = curl_exec($ack);
# $info = curl_getinfo($ack);
curl_close($ack);
# $info['http_code'];
return $syn;


Et voici comment l’appeler dans vos scripts :


$wrapped = tor_wrapper("https://korben.info");
echo $wrapped;


Voilà… Je me dis que ça peut toujours dépanner…

Bon, je déconne pour le titre de la news car ce n’est évidement par vrai mais j’ai fais quelques tests récemment et j’ai décidé de vous en faire part…

Je me suis demandé si avec les réseaux sociaux comme MySpace, Ziki, Facebook ou encore MyBlogLog, je pouvais augmenter ma visibilité simplement en me rajoutant en tant que fan, ami, contact des autres personnes inscrites sur ces sites…

Je pense qu’évidement, si j’ai ma tronche sur toutes les pages MySpace, FaceBook, Ziki ou encore MyBlogLog, j’augmenterai forcement ma visibilité… C’est a dire le nombre de visites sur mon site par exemple -niark niark niark-

L’intérêt pour moi ? Personnellement aucun intérêt car je me fiche d’avoir 100 000 inconnus par jour qui visitent mon site sans rien y comprendre, mais j’ai quand même eu envie d’essayer pour voir si je pouvais m’inscrire en tant que fan par exemple sur tous les profils MySpace du monde… Ou si je pouvais étendre mes contacts avec Ziki de façon automatique.

A la main ça prendrais trop de temps… Alors j’ai commencé a regarder ces sites pour voir la procédure me permettant d’inscrire un autre membre en tant qu’ami dans mon profil. Et donc d’avoir ma tête en tant que fan, dans le profil des autres (c’est surtout cela qui est interressant)

J’ai remarqué surtout que les URLs d’ajout des membres étaient constitué d’un paramètre ID ! Grave erreur ! Pourquoi ? Je vais y venir…

Voici quelques exemples :

Pour MySpace
http://collect.myspace.com/index.cfm?fuseaction=user.addToFavorite&friendID=1234&public=0

Pour Ziki
http://www.ziki.com/fr/people/korben/favorites/friend_add?favorite_id=1234

Pour FaceBook
http://www.facebook.com/addfriend.php?id=1234

Pour MyBlogLog
http://www.mybloglog.com/buzz/t_addcontact.php?i=1234&n=Korben

Je me suis donc dit qu’avec une simple boucle qui générerait les IDs, je pourrais ajouter tous les membres d’un site a mon profil car en théorie, le premier ID = 1, le second a 2 …Etc

Maintenant, comment faire ce petit programme ?

Avec mon ami ChickenFoot qui est un plugin Firefox permettant de faire des petits javascript pour réaliser un genre de macro pour le web.

J’ai donc commencé avec MySpace et j’ai pondu le code suivant :

for (i=197028704; i<=197028710; i++){ go("http://collect.myspace.com/index.cfm?fuseaction=user.addToFavorite&friendID="+i+"&public=0") try { click("ajoute a tes favoris button") } catch(e){a=1} sleep(5) } alert("Et c'est fini !")

Les IDs MySpace sont pas très marrants car ils ne se suivent pas... J'ai plutôt l'impression que c'est un genre de numéros aléatoires... Mais bon, pas grave, si on a le temps, on peut tous les faire.

C'est donc une boucle for qui commence suivi d'un GO pour se rendre a l'adresse voulue (et en y injectant l'ID incrémenté) et enfin, un try qui va cliquer sur les boutons "Ajouter" a notre place.

J'ai mis Try car si l'ID n'existe pas (et donc que le profil a rajouté n'existe pas) ça ne fait pas planter le programme et on peut passer a l'ID suivant.

Bon, après, on a un sleep de 5 secondes permettant au serveur MySpace de souffler un peu avant d'enchainer avec le suivant.

Ensuite, j'ai testé Ziki... La bonne suprise, le code légèrement aménagé fonctionne encore mieux car la pour le coup, les IDs se suivent vraiment...

for (i=2007073000310436; i<=2007073000318436; i++){ go("http://www.mybloglog.com/buzz/t_addcontact.php?i="+i+"&n=arf") try { click("Add as a contact") click("Submit button") } catch(e){a=1} sleep(5) } alert("Et c'est fini !")

FaceBook, pareil...

for (i=100000; i<=1000100; i++){ go("http://www.facebook.com/addfriend.php?id="+i) try { click("add your button") } catch(e){a=1} sleep(5) } alert("Et c'est fini !")

Sauf que la ils sont moins bêtes car les users doivent valider l'inscription ou non d'un ami a leur profil.

Je dois dire quand même que les plus sécurisés sont MyBlogLog qui génèrent leurs ID avec l'heure et la date a laquelle l'utilisateur s'est inscrit...

C'est a dire que le script suivant peut toujours fonctionner mais ça risque d'être trèèèèèèèès long d'ajouter tout le monde...


for (i=2007073000310436; i<=2007073000318436; i++){ go("http://www.mybloglog.com/buzz/t_addcontact.php?i="+i+"&n=arf") try { click("Add as a contact") click("Submit button") } catch(e){a=1} sleep(5) } alert("Et c'est fini !")

Bon, et maintenant, ou je veux en venir avec tout ça ? Il est évident qu'il n'existe pas de réelles parades a des macros de ce style.

Ce que je conseillerai a ces sites, c'est surtout d'utiliser soit des hash conséquents en tant qu'ID un peut comme MyBlogLog mais avec des lettres en plus pour éviter que cela ne soit trop facile. Ou alors d'utiliser non plus des chiffres mais les pseudos des membres inscrits...

Dans ce cas la , au lieu de tester les combinaisons

• 1234
• 1235
• 1236
• 1237
• ...etc

Qui font qu'a tous les coups on gagne, les petits malins seraient obliger de tester des combinaisons comme

• aaaa
• aaab
• aaac
• aaad
• ...Etc

Ou si c'est avec des hash, c'est encore mieux

• ABSDFjeruiiWFYTYUUYUYCDE34561
• ABSDFjeruiiWFYTYUUYUYCDE34562
• ABSDFjeruiiWFYTYUUYUYCDE34563
• ...Etc

Cette dernière solution est donc la meilleure pour éviter que les gens n'abusent du système.

Bon, voila pour la démonstration. Elle n'est pas parfaite car elle utilise une technique incrémentale qui peut rendre tout cela très long. Néammoins la simplicité d'exécution de ce genre de chose est interressante.

Evitez quand même de vous rajouter sur tous les profils des gens, ça risque de vous porter plus préjudice qu'autre chose et honnêtement, je doute que ça serve a grande chose a part ramener des visites sur votre profil. Quoiqu'il en soit, ceci n'est pas un hack car il n'exploite aucune faille du système. C'est juste une démo pour mettre en avant une des faiblesses des sites sociaux utilisant les IDs pour mettre en relation les gens entre eux...

A bon entendeur...Saluuuuuut 😉

Trouvé sur WebDeux, une petite vidéo sur l’évolution des jeux vidéos.