ROZWIĄZANY: Bot facebooka w niedozwolonym miejscu

[Jurij]

Witam,

Zauważyłem bardzo niepokojącą rzecz po przesiadce ze skryptu IPB 3.2.3 na 3.3.4. Otóż w niedozwolonej dla przeciętnego użytkownika przestrzeni forum napotkałem na taki oto obrazek: . Uprawnienia nadane są prawidłowo, dostęp do tego forum mają tylko administratorzy. Moje pytanie brzmi co facebook tam robi, jak się go stamtąd pozbyć i jak to się ma do kwestii bezpieczeństwa nowego skryptu?

P.S.

Niestety logo zakryło cały screen Oprócz mnie temat ogląda facebook (1). Co ta jedynka oznacza też nie wiem...

Edytowane 26 Lipca 2012 przez Jurij

[DawPi]

Że jeden bot (jedno IP).. Boty mogą szpiegować z różnych serwerów. To tyle w kwestii wyjaśnienia liczby w nawiasie.

Odnośnie reszty - chyba najlepiej napisać o tym do IPSu, co my maluczcy możemy wiedzieć.

[elroy]

No to jest o tyle upierdliwe, że jeżeli ktoś się podszyje pod bota, to ma dostęp do strefy zabronionej. Kiedyś o tym już tu pisałem, ale np. w przypadku phpbb3 wystarczy zwykle dodatek Switch User Agent i już można czytać co się chce W razie czego służę przykładami

[Jurij]

No właśnie to mnie zaniepokoiło, bo skoro dajmy na to trzy osoby mają dostęp do jakichś treści, to żaden bot ani nikt inny nie ma prawa tam zaglądać. Myślałem że ktoś się spotkał już z tym przypadkiem... W takim razie napiszę do supportu i zobaczymy co odpiszą

[Jurij]

Uff, w końcu znalazłem czas aby napisać do supportu. Oto odpowiedź:

Hello.

Please visit the ACP -> System Settings -> Social Media and Sharing page. What is the setting for Facebook "bot" group ?

If you have that set to Guest or Member, then Facebook is trying to access that topic, but all they are actually seeing is an error message telling the bot that it doesn't have permission to view that topic. The "Like" button on that page triggers Facebook to try and read the topic. But with no permission to do so, they only get an error message.

On the other hand, if you've set the bot to be in the Admin Group, or another Group that can see the topic, then the bot is seeing the full topic. You'd need to change that setting to a Group that doesn't have access to that forum

Please let us know if we can be of further assistance.

Thank you.

Mark Higgins

Invision Power Services, Inc.

No więc drążę temat dalej. Bo ustawienia mam prawidłowe, bot facebooka jest na forum gościem. A więc może widzieć tylko te fora, które widzą goście. A zatem nie ma prawa wiedzieć nawet o forach redakcyjnych a co dopiero o tematach tam pisanych No więc zapytałem co ten bot tam robi i jakim prawem wie o istnieniu tematów w forach o ograniczonym dostępie. Na IPB 3.2.3 tego nie było i wolałbym żeby facebook nie ingerował tam, gdzie nie powinien. Ani facebook ani ktokolwiek kto się pod facebooka podszyje

[Jurij]

No i tyle mi tylko odpisali:

Hello,

Facebook cannot see the topics, they'll be seeing an error message. You're only seeing Facebook being listed because a Facebook LIke Button is displayed on this page. Facebook cannot actually see any of the content of these forums.

Thanks,

Regards,

--

Michael Burton

Invision Power Services, Inc.

Troszeczkę to jest dla mnie nie logiczne. Przecież like boxa od facebooka miałem począwszy od wersji 3.2.0 i nigdy facebook nie mógł widzieć tematów na forach redakcyjnych Skoro usiłuje je przeczytać to znaczy że wie o ich istnieniu. A nie powinien. Co o tym myślicie? Bo nie wiem czy drążyć temat czy dać sobie spokój i przywyknąć do tego że osoby trzecie także mogą sobie kuknąć w zastrzeżone rejony forum chociażby po to aby otrzymać wiadomość z błędem

[Leihto]

Możesz dodać do pliku robots.txt linię blokowania dostępu botom dla tego forum, ale niestety tym nie zablokujesz widoku tematu..

Z resztą jak widzą tylko komunikat z błędem, to możesz to olać

[semenedar]

Jurij, pytanie czy ktoś się nie podszywa pod Facebooka, na przykład za pomocą wtyczki do Google Chrome, User Agent Switcher. Z tego co słyszałem, podobno jest to możliwe. Ale z drugiej strony, jeżeli Facebook jest w grupie gości, to i tak nie ma dostępu do zawartości, co najwyżej, widzi komunikat o braku dostępu. Powiedz mi, czy ta strefa o której mówisz ZAWSZE była zamknięta? Czy nie ma takiej mozliwości że to gdzieś jest w wyszukiwarce? Jeżeli zawsze była zamknięta i żaden boot tego nie "zaksięgował" to wtedy jest to dziwne. Jeżeli jednak było otwarte a później zamknąłeś, to może tak być że Facebook odbija się od tej strefy, widzi komunikat błędu.

Na przykład u mnie, przez jakiś czas na początku goście mogli oglądać profile Użytkowników. Więc Google zapisało pozycje. Później to wyłączyłem, goście nie mogą już od dawna przeglądać profili Użytkowników. Ale oczywiście z wyszukiwarki, zniknęło to dopiero po pewnym czasie. Dlatego pojawiały się pozycje "gość" w miejscu "ostatnio byli" w Profilach Użytkowników bo ktoś jak sądzę z wyszukiwarki klikał w link do profilu. Oczywiście ów "gość" widział już tylko komunikat że nie ma dostępu do zawartości, ale ZAPISAŁ się w pozycji "ostatnio byli". Możliwe też że ktoś korzystał z cachu Google i zobaczył starą zawartość. Teraz, niczego już nie można zobaczyć. Więc może u Ciebie jest podobnie i to minie z czasem?

Edytowane 14 Sierpnia 2012 przez semenedar

[Jurij]

1. Zostało zainstalowane forum w wersji 3.2.0 rok temu.

2. Zostały utworzone kategorie, fora i kilka forów było niewidocznych od samego początku (jedynie dla administratorów i moderatorów).

3. Przez pierwsze półtora miesiąca forum było całkowicie wyłączone na okres tworzenia i niedostępne dla nikogo.

Więc nie ma absolutnie żadnej możliwości aby jakiekolwiek treści z tych forów były indeksowane przez cokolwiek.

4. Został założony forumowy facebook, z czasem pojawił się na głównej like box.

5. Przez rok nie było śladu facebooka w niedozwolonym miejscu.

6. Po aktualizacji skryptu z IPB 3.2.3 na 3.3.4 bot facebooka zaczął się pojawiać tam gdzie nie powinien

Im dłużej o tym myślę tym bardziej jestem przekonany że IPS coś sknocił przy nowszych wersjach bo nie ma takiej możliwości aby bot facebooka wiedział o tych forach skoro nigdy nie były dla nikogo dostępne

[semenedar]

No to mi teraz wyjaśniłeś w sposób nie pozostawiający żadnych wątpliwości. Zwyczajnie nie wiem co doradzić. Jeśli IPS coś sknocił, to i tak się nigdy do tego nie przyzna lub bedą bagatelizować problem dopóki sie nie posypią takie zgłoszenia w ilości, która by była dla nich podstawą do jakiegokolwiek działania.

Edytowane 14 Sierpnia 2012 przez semenedar

[Jurij]

Spotkał się ktoś z Was z botem facebooka na forach o ograniczonym dla gości / użytkowników dostępie czy tylko u mnie takie przypadki mają miejsce?

[Jurij]

Dobra, ja ze swojej strony mogę powiedzieć że zrobiłem wszystko co mogłem aby wyjaśnić tę zagadkę. Napisałem im wczoraj wieczorem jeszcze raz (tak jak powyżej) punkt po punkcie historię wydarzeń i zapytałem wprost czemu wcześniej pomimo posiadania like boxa facebook nie odwiedzał tematów na forach redakcyjnych a po aktualizacji skryptu do wersji 3.3.4 zaczął to robić. Taką odpowiedź otrzymałem:

Hello.

I believe that's due to a change by Facebook itself. There was a time when having that Like button there did not cause Facebook to try and read the content, but now it does.

There is no hole in the security.

Unless you've set that bot as a member of a group that's able to see the topic, they won't see it.

Thank you.

Mark Higgins

Invision Power Services, Inc.

Pozostaje mi jedynie uwierzyć twórcom skryptu na słowo i przywyknąć do bota facebooka tam gdzie go być nie powinno Jeśli ktoś ze specjalistów ma jakieś rady to byłbym wdzięczny a jeśli nie - myślę że można zamknąć

[DawPi]

Problem ROZWIĄZANY. Jeśli są jakiekolwiek wątpliwości, pytania proszę o wysłanie wiadomości do jednego z członków ekipy zarządzającej.

Wszelkie uzasadnione reklamacje/pretensje/sugestie/rady przyjmuje ekipa forum.