2011 : comment j'ai exploité un bug de Facebook pour en faire une blague



En 2011, après avoir découvert un bug sur Facebook, j'avais publié ce statut :



Cette publication annonçait la personne la plus laide parmi mes milliers d'amis, cliquez ici pour voir qui c'est.
C'était une blague de très mauvais goût qui m'avait coûté la perte de plusieurs amis, ceux qui ont cliqué n'ont su que c'était une blague que quand d'autres ont commencé à commenter.

Il y a quelques jours ce statut a réapparu, en souvenir, dans mon fil d'actualités. A mon plus grand étonnement, les ingénieurs de Facebook n'ont toujours pas résolu ce vieux bug; j'avais alors décidé de re-partager mon statut et relancer la blague en ajoutant "Toujours valable" :



Et bien sûr, des gens se sont encore fait avoir. Comment est ce que Sahaza, une personne bien réputé dans ce qu'il fait peut dire une telle chose? - Ce n'est qu'une blague... mais tout de même de très mauvais goût et très dangereuse, pourquoi? Parce que les premières personnes qui voient le statut et celles qui ne lisent pas les commentaires pensent que c'est sérieux. J'ai pu m'expliquer à quelques amis qui m'avaient demandé des explications en message privés, mais il y a sûrement ceux qui ne l'ont pas fait et qui m'en veulent encore. J'aurais pu faire comme ce présentateur télé qui a repris mon astuce :


Mais j'étais pas célèbre, personne n'y aurait fait attention.

Dire des choses négatives sur une personne attire plus son attention, un ami a même rajouter que la personne n'est pas seulement laide mais lui doit encore de l'argent :



A la limite de leur créativité, chacun peut exploiter ce bug. Une page de loto pourrait annoncer que cette personne a gagné 10 000 000 $, un community manager d'un commissariat de police (si ça existe), un peu fou, pourrait annoncer que cette personne est suspectée d'avoir volé des voitures. Enfin, Daesh pourrait dire que cette personne est de mèche avec eux. Que ce bug soit exploité positivement ou négativement, il est quand même très dangereux, j'exagère peut être mais il pourrait causer une crise cardiaque ou un meurtre.

Facebook doit impérativement corriger ce bug!


Mais d'abord, comment ça se fait que ce soit votre profil qui s'affiche quand vous cliquez sur ce lien?


Un petit cours de PHP en language humain : Pour un utilisateur connecté sur Facebook, le lien qui affiche son profil est http://www.facebook.com/profile.php. Le lien sous le format http://www.facebook.com/profile.php?id=XXXXXXXX affiche le profil d'une personne ou une page, quand on regarde bien ce lien, id=XXXXXXXX a été ajouté au lien qui affiche le profil de l'utilisateur connecté. Pour faire simple, id prend la valeur XXXXXXXX, numéro du profil ou de la page dans la base de données de Facebook. S'il est fourni dans le lien et est différent de l'identifiant de la personne connectée la page d'une autre personne s'affiche. C'est uniquement la présence de id dans le lien qui contrôle cette sélection, si on utilise le même lien et qu'on ajoute autre chose, cela affichera toujours le profil de l'utilisateur connecté:

http://www.facebook.com/profile.php?i=123456789
http://www.facebook.com/profile.php?identifiant=987654321
http://www.facebook.com/profile.php?u=12121212
http://www.facebook.com/profile.php?user=21212121


Pour faire une blague, il suffit alors de mettre quelque chose qui ressemble à id=XXXXXXXX après profile.php. Pour mon cas j'ai ajouté i=16815427.

Comment Facebook peut corriger ce bug?

Pour un développeur PHP, c'est simple comme dire "Hello world", et je pense qu'il y en a des centaines qui travaillent chez Facebook. Il suffit de mettre en place des conditions "if", "elseif" et "else" lors de la récupération des paramètres GET de l'URL ($_GET), pour id c'est $_GET['id'].
if id ainsi que d'autres variables utilisés sont récupérés, rediriger vers les sections spécifiques du profil (photos, amis, etc.);
elseif id seulement est récupéré, rediriger vers le journal;
elseif aucun variable n'est récupéré, rediriger vers le journal;
else afficher "Cette page n'est malheureusement pas disponible.

Je n'ai peut être pas été le premier a avoir trouvé l'astuce et à l'utiliser pour des blagues,

http://reface.me/status-updates/funny-facebook-status-update-profile-link/
https://sinister.ly/Thread-This-will-redirect-you-to-your-facebook-profile
https://answers.yahoo.com/question/index?qid=20110223113338AAmMA5N

... mais je signale ce bug, car c'est un bug, par l'intermédiaire de cet article. Je pense qu'il doit être corrigé.

Sinon je sais que Facebook recompense les dénicheurs de bugs et les affiche ici : https://web.facebook.com/whitehat/ Est-ce que j'en ferais parti? Hihi, je sais pas. Si ça se produit je m'achèterais un nouveau MacBook et je ferais un don au projet CoderBus :)

Enregistrer un commentaire

Plus récente Plus ancienne

Formulaire de contact