※ [本文轉錄自 Facebook 看板 #1EP9Kku_ ] 作者: kaoru0429 (沒妳我會死翹翹...硬死) 看板: Facebook 標題: [心得]解決手機看不到朋友更新及應用程式的安全性設定需知 時間: Mon Sep 5 17:23:52 2011 很多人最近在前天改版後 用手機APP看不見某些朋友的Tag 塗鴉牆 小弟也找了很久~~閃光還以為我有對她設什麼不給她看的( ‵□′)───C＜─___-)||| 朋友名單～～個人檔案都找過之後 我終於發現了原因所在 因為手機 user大多是使用應用程式登入瀏覽 小弟目前週遭的是以Android user比較多會發生這種狀況 解決方式為 前不久才更新的應用程式隱私設定 "設定你的隱私分享權限應用程式、遊戲和網站" (帳號->隱私設定->應用程式與網站->編輯設定) 再移到"朋友如何將你的資訊帶到他們使用的應用程式"選擇編輯 也許是因為這次將隱私設定大幅移至個人檔案前台的關係 小弟的"我的現況更新"部份被取消了 而我原先就有針對應用程式設定的部份僅做部份資料開放 這是一個安全性的考量 因為手機App也被包含在應用程式的範圍裡 所以當你看不到某些朋友最近的近況更新的 那應該就是他們這個部份沒有重新設定 大家看到也可以注意一下自己的設定是否跳掉了 而所謂安全性的考量是因為 臉書雖然在隱私上可以針對每個user做還不錯的隱私設定 但是為了APP開發方便 臉書在對於應用程式上的隱私設定幾乎是一視同仁的 (對沒錯你還是可以把程式加到黑名單) 但這些其實是"善意程式"了　至少你被騷擾還會被發現 而現在臉書對於應用程式的安全性基本上是處於放任狀態的 因為官方認為 ＂來路不明的東西你要添加造成資料失竊是使用者的責任＂ 但是我換個方式說好了 如果惡意程式外面包裹著無害的糖衣呢？ 就以現在瀏覽器大約三分天下的狀況來說好了 (Firefox & Aurora/Google Chrome/IE & Opera & Safari) [雖然IE9有GC化的傾向] FX和GC Users一定不會放過最有特色的功能 那就是UserScripts　藉由GreaseMonkey 等外掛程式 產生各種充滿自定性與針對性的應用程式 我想是FX和GC用戶的最愛也不為過吧？ （Opera 其實也可以掛UserScripts　不過他的主要訴求是速度與輕便） 以一個正常FX用戶而言 也許大概有過半會灌油猴 那在上臉書時　用戶也自然會找尋適合的插件 隨意舉個例好了(以下程式名鎖碼　因為臉書官方並不樂見此等第三方程式) Fxixer for Facebook (小幅排版　記錄) Unxxxxxx Frxxxxx Chxxxxx (這個有用的應該都知道　這也是最出名的臉書必擋US) 然後可能還有一些附加性的US 例如想要一頁開啟相簿內所有縮圖 或是游標移到小圖變大圖 等等之類的...　但是我想也許很多人不會就此滿足 在設定內的設制滿足了需求之後　也許有的人就會想找找規則邊緣的程式了 例如＂我朋友的相簿我沒辦法全看到　有辦法看到隱藏相本嗎？＂ 或是＂我想看看我沒加好友的正妹（帥哥）的相片和資料＂ 等等念頭 為了讓看到此文的人能有所警惕 我會將這種US公佈出來 就以想看自己看不到的相片為例好了 當我們上了http://userscripts.org/之後 當然動作就是搜尋可用腳本 =====================注意！請勿安裝以下所舉例示範之腳本====================== 那我們試試關鍵字"Facebook Photo Image Album View"等等的好了 找到了一個＂Facebook View All Photos ＂ (嗯～～光是同名的腳本就有十幾種　好像很可靠？) http://userscripts.org/scripts/show/109392 於是開心地點了Install　馬上就來登入臉書試看看 ＂疑～～奇怪～～怎麼還是開不了隱藏相簿？＂ ＂可能這個腳本還沒改版吧～～我看網站上有人打五顆星點讚的啊！！＂ ＂那再來找找類似的好了...＂ 於是舊的這個腳本也不移除　心裡想著反正Update會自動幫你更新 等到更新那天它就可以大展身手了！！ 如果有做過以上事情的人....　 恭喜你　你自己的照片很有可能被盜用了( ′-`)y-～ 而上面的範例就是我所指的＂惡意＂應用程式 它們還會以各種方式出現 例如： 1.某作者說他做了好幾個版本，一起灌更有效（對～～個資被偷的更有效） 2.或是有的人乾脆就光明正大做一個應用程式出來　而它也的確有部份效果 (像是某大站前陣子說的Pi*k & Z*p) 像在使用這套程式時它會強迫你登出，並以它們專屬的用戶端登入 (為什麼呢？相信稍懂網頁設計的都懂...與其要解PHP的MD5加密 不如我直接做一個Sniff端竊取使用者登入的資料明碼不是更快) 這也是為什麼此類程式一定要你登出的關係　有你帳密等於擁有你所有權限啊!! 3.第三種是最陰險的，它們偽裝在很多大家公認的腳本下，就如同我前述所說的 　（如果腳本檔名一樣，但是兩者更新日期不同，功能似乎也一樣） 　 請問你會用新的還是舊的呢？ 　(它們只在必要的地方插入竊取資料的程式碼，藉由每日更新讓使用者誤認） 4.當然還有第四種方法...第五種...但要懂得保護自己這些就不用知道了( ￣ c￣)y▂ξ 保護自己隱私並不難： I.所以～～請立即將你有關對於應用程式開放資料的部份做好隱私設定吧!! II.在安裝插件時請儘量選擇有公信力，網站認證過，以及大多數使用者都使用無疑的 III.請或多或少在安裝前看一下程式碼...多花幾分鐘...比以後哭一輩子好 IV.幫你的臉書與手機做好連動不會吃虧的～～什麼時候被登入都會有簡訊 V.沒有必要請不要用不明proxy做登入的動作，除應用程式外請儘量保持http"s" 安全連線 後記： 　　　我補充一下剛剛所舉例的腳本是如何盜取使用者的圖片的好了 　　 首先我們在腳本裡會發現一行怪怪的地方 "photosLink = document.getElementById('action_app_2305272732')" 　奇怪了～～不是要看相簿怎麼會連到應用程式去... 　那我們就去那個程式的粉絲頁一探究竟好了 http://www.facebook.com/apps/application.php?id=2305272732 看到事情的真相了嗎？ 　原來那個腳本是假借用臉書內建"我的相本"的名義 　只要有用戶安裝那份腳本　自己的照片就會連相片還帶Tag出現在粉絲頁 　看看左邊的＂相片＂區掛了多少受害者就知道了... 　雖然這個script現在已經沒什麼作用了 　但是大概在一年多前它可是盜了兩三千張的臉書自X流X照片... -- 「你要不要加入我們的TTP計畫?」 「什麼是TTP計畫?」 「喔,就是The TTP Project的縮寫」 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.25.56.110 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.25.56.110