Bon, je déconne pour le titre de la news car ce n’est évidement par vrai mais j’ai fais quelques tests récemment et j’ai décidé de vous en faire part…
Je me suis demandé si avec les réseaux sociaux comme MySpace, Ziki, Facebook ou encore MyBlogLog, je pouvais augmenter ma visibilité simplement en me rajoutant en tant que fan, ami, contact des autres personnes inscrites sur ces sites…
Je pense qu’évidement, si j’ai ma tronche sur toutes les pages MySpace, FaceBook, Ziki ou encore MyBlogLog, j’augmenterai forcement ma visibilité… C’est a dire le nombre de visites sur mon site par exemple -niark niark niark-
L’intérêt pour moi ? Personnellement aucun intérêt car je me fiche d’avoir 100 000 inconnus par jour qui visitent mon site sans rien y comprendre, mais j’ai quand même eu envie d’essayer pour voir si je pouvais m’inscrire en tant que fan par exemple sur tous les profils MySpace du monde… Ou si je pouvais étendre mes contacts avec Ziki de façon automatique.
A la main ça prendrais trop de temps… Alors j’ai commencé a regarder ces sites pour voir la procédure me permettant d’inscrire un autre membre en tant qu’ami dans mon profil. Et donc d’avoir ma tête en tant que fan, dans le profil des autres (c’est surtout cela qui est interressant)
J’ai remarqué surtout que les URLs d’ajout des membres étaient constitué d’un paramètre ID ! Grave erreur ! Pourquoi ? Je vais y venir…
Voici quelques exemples :
Pour MySpace
http://collect.myspace.com/index.cfm?fuseaction=user.addToFavorite&friendID=1234&public=0
Pour Ziki
http://www.ziki.com/fr/people/korben/favorites/friend_add?favorite_id=1234
Pour FaceBook
http://www.facebook.com/addfriend.php?id=1234
Pour MyBlogLog
http://www.mybloglog.com/buzz/t_addcontact.php?i=1234&n=Korben
Je me suis donc dit qu’avec une simple boucle qui générerait les IDs, je pourrais ajouter tous les membres d’un site a mon profil car en théorie, le premier ID = 1, le second a 2 …Etc
Maintenant, comment faire ce petit programme ?
Avec mon ami ChickenFoot qui est un plugin Firefox permettant de faire des petits javascript pour réaliser un genre de macro pour le web.
J’ai donc commencé avec MySpace et j’ai pondu le code suivant :
for (i=197028704; i<=197028710; i++){
go("http://collect.myspace.com/index.cfm?fuseaction=user.addToFavorite&friendID="+i+"&public=0")
try {
click("ajoute a tes favoris button")
} catch(e){a=1}
sleep(5)
}
alert("Et c'est fini !")
Les IDs MySpace sont pas très marrants car ils ne se suivent pas... J'ai plutôt l'impression que c'est un genre de numéros aléatoires... Mais bon, pas grave, si on a le temps, on peut tous les faire.
C'est donc une boucle for qui commence suivi d'un GO pour se rendre a l'adresse voulue (et en y injectant l'ID incrémenté) et enfin, un try qui va cliquer sur les boutons "Ajouter" a notre place.
J'ai mis Try car si l'ID n'existe pas (et donc que le profil a rajouté n'existe pas) ça ne fait pas planter le programme et on peut passer a l'ID suivant.
Bon, après, on a un sleep de 5 secondes permettant au serveur MySpace de souffler un peu avant d'enchainer avec le suivant.
Ensuite, j'ai testé Ziki... La bonne suprise, le code légèrement aménagé fonctionne encore mieux car la pour le coup, les IDs se suivent vraiment...
for (i=2007073000310436; i<=2007073000318436; i++){
go("http://www.mybloglog.com/buzz/t_addcontact.php?i="+i+"&n=arf")
try {
click("Add as a contact")
click("Submit button")
} catch(e){a=1}
sleep(5)
}
alert("Et c'est fini !")
FaceBook, pareil...
for (i=100000; i<=1000100; i++){
go("http://www.facebook.com/addfriend.php?id="+i)
try {
click("add your button")
} catch(e){a=1}
sleep(5)
}
alert("Et c'est fini !")
Sauf que la ils sont moins bêtes car les users doivent valider l'inscription ou non d'un ami a leur profil.
Je dois dire quand même que les plus sécurisés sont MyBlogLog qui génèrent leurs ID avec l'heure et la date a laquelle l'utilisateur s'est inscrit...
C'est a dire que le script suivant peut toujours fonctionner mais ça risque d'être trèèèèèèèès long d'ajouter tout le monde...
for (i=2007073000310436; i<=2007073000318436; i++){
go("http://www.mybloglog.com/buzz/t_addcontact.php?i="+i+"&n=arf")
try {
click("Add as a contact")
click("Submit button")
} catch(e){a=1}
sleep(5)
}
alert("Et c'est fini !")
Bon, et maintenant, ou je veux en venir avec tout ça ? Il est évident qu'il n'existe pas de réelles parades a des macros de ce style.
Ce que je conseillerai a ces sites, c'est surtout d'utiliser soit des hash conséquents en tant qu'ID un peut comme MyBlogLog mais avec des lettres en plus pour éviter que cela ne soit trop facile. Ou alors d'utiliser non plus des chiffres mais les pseudos des membres inscrits...
Dans ce cas la , au lieu de tester les combinaisons
- 1234
- 1235
- 1236
- 1237
- ...etc
Qui font qu'a tous les coups on gagne, les petits malins seraient obliger de tester des combinaisons comme
- aaaa
- aaab
- aaac
- aaad
- ...Etc
Ou si c'est avec des hash, c'est encore mieux
- ABSDFjeruiiWFYTYUUYUYCDE34561
- ABSDFjeruiiWFYTYUUYUYCDE34562
- ABSDFjeruiiWFYTYUUYUYCDE34563
- ...Etc
Cette dernière solution est donc la meilleure pour éviter que les gens n'abusent du système.
Bon, voila pour la démonstration. Elle n'est pas parfaite car elle utilise une technique incrémentale qui peut rendre tout cela très long. Néammoins la simplicité d'exécution de ce genre de chose est interressante.
Evitez quand même de vous rajouter sur tous les profils des gens, ça risque de vous porter plus préjudice qu'autre chose et honnêtement, je doute que ça serve a grande chose a part ramener des visites sur votre profil. Quoiqu'il en soit, ceci n'est pas un hack car il n'exploite aucune faille du système. C'est juste une démo pour mettre en avant une des faiblesses des sites sociaux utilisant les IDs pour mettre en relation les gens entre eux...
A bon entendeur...Saluuuuuut 😉