, ,

Facebook: „Trust you“ und der geheime Eingang

secret entrance

trust youNormalerweise darf jede Facebook-Applikation pro Tag und User genau 20 Einladungen verschicken. Trust you allerdings umgeht diese Einschränkung auf elegante Weise – da sind anscheinend dark secret technologies am Werk… bisher tappen die Ermittler noch im Dunkeln. „Harry, fahr schon mal den Wagen vor“, sagt Oberkommissar Da Rick.

Viele Facebook-Applikationen generieren aus den Eingaben der User ein bestimmtes Ranking: ob hottest, smartest oder most successful friends, die zugrunde liegende Mechanik ist immer die gleiche: je mehr Kontakte man hat und je mehr Leute man einlädt, desto höher die rein statistische Chance, besser im Ranking abzuschneiden, weil man einfach von mehr Kontakten beurteilt wird. Nun ist die angesprochene 20-User-Grenze keineswegs Goodwill der App-Programmierer, ganz im Gegenteil: die Facebook-API gibt diese Zahl fix vor um von vornherein Applikations-Spam in großem Stil auszuschließen.

Trust you fällt in die oben beschriebene Kategorie von Apps – man wählt aus, welche seiner Bekannten man für besonders vertrauenswürdig hält, das Programm erstellt ein dynamisches Ranking, sowohl Facebook-weit als auch eines des eigenen Bekanntenkreises. So weit, so gut – dass ein derartiges Ranking aus den oben beschriebenen Gründen *rein gar nichts* aussagt, dürfte klar sein. (Soll natürlich keinesfalls heißen, dass ich nicht vertrauenswürdig bin *fg*)

Und die App wäre auch nicht weiter erwähnenswert, gäb’s da nicht dieses „Secret Entrance“ Fenster, auf dem zu lesen ist:

secret entrance

Und in der Tat: auch wenn man bereits die täglichen 20 Einladungen verschickt hat, führt der Klick auf einen der fünf Geheimeingänge zu der bekannten Einladungsmaske, allerdings mit zurückgesetztem Limit. Man kann also nicht 20, sondern mindestens 120 Personen einladen. Das ist im Kontext der genannten Applikation nicht weiter spannend, was mich vielmehr fasziniert ist die Tatsache, dass da ganz offensichtlich jemand smarter war als die API; keine Ahnung, wie die Betreiber das geschafft haben, aber das Beispiel dürfte wohl bald Schule machen, wenn Facebook diese Lücke – wo immer sie auch sein mag – nicht dicht macht.

7 comments
Dandy
Dandy

@Mikee - ne, ritchie hat recht, so geht's nicht. Aber: I like the way you think :twisted:

Mikee
Mikee

Naja, ich würde mir halt ein paar Programme zertifizieren lassen und mit der Zertifizierung dann ganz was anderes machen. Kann man das von vornherein verhindern? Grüße, Mikee

Mikee
Mikee

Das Rätsel ist nicht sooo schwer zu lösen: Wenn eine Applikation 20 Invites über die API schicken kann, dann können sechs Programme das Sechsfache. Nachdem die Programme per definitionem ja extern laufen reicht es, wenn die Entwickler der API vorgaukeln, daß sich da sechs Programme anmelden, und nicht eines. Liege ich falsch? Mikee

USB Styles
USB Styles

Die Jungs werden's wohl nicht verraten... vielleicht ist die app auch einfach nur vom Cousin des Chefprogrammierers oder so. Ich kann mir nämlich auch überhaupt nicht erklären, wie die das 20er Limit umgehen.

ritchie
ritchie

Ja! Es geht nämlich nicht um die einmalige Zertifizierung durch FB, sondern der User muss beim Installieren jeden neuen Programmes diesem die entsprechenden Rechte geben, und die sind nicht auf andere Apps übertragbar.

Alfi
Alfi

Aber wenn die dann mal draufkommen, dann war man vermutlich die längste Zeit Facebook Applikationsentwickler...

ritchie
ritchie

Nein, ganz so einfach isses nicht... jedes Programm muss nämlich vom User zertifiziert werden, dh, die Erlaubnis erhalten, Invites zu schicken (und im Minifeed zu posten etc... das sind die Hackerl beim Installieren). Und diese Autorisation gilt eigentlich immer nur für eine App... aber ich glaube, dass du trotzdem recht hast und die diesen Mechanismus wohl irgendwie überlisten; damit wär's also ein klassischer Hack, der eine Loch in der Sicherheitsarchitektur ausnutzt.