Les permissions de l’API Facebook
Je me suis récemment intéressé aux API des réseaux sociaux pour voir ce qu’il était possible de faire avec et si leur utilisation était facile.
Celle qui a le plus retenu mon attention est l’API facebook car elle est très bien documentée et très facile d’accès.
Une partie de la documentation a justement attiré mon attention, il s’agit de la liste des permissions qu’il est possible d’obtenir grâce à une application facebook.
Pour avoir accès à certaines informations ou certaines actions, les applications facebook doivent vous demander la permission.
Premièrement, cela veut dire que certaines autres informations sont accessibles sans qu’aucune permission leur soit accordée.
De plus les permissions permettent d’aller très loin et notamment :
- d’accéder à vos données lorsque que vous êtes hors de l’application
- d’uploader des photos/vidéos sous votre nom et de tagger des gens dessus.
- de créer un évènement en votre nom.
- de lire les messages de votre messagerie privée !
- etc..
J’aimerais bien qu’on m’explique quel genre d’application à besoin de lire les message privés de ces utilisateurs…
On ne sait pas précisément à quoi aura accès cette application
Pour vous donner une idée du nombre de personnes ayant accès a ces données il suffit de se rendre dans les paramètres de « confidentialité » de votre compte.
Si comme 99% des gens vous autoriser systématiquement les applications de merde à accéder a vos informations vous devriez avoir un sacré liste, et chacun des développeurs de chacune de ces applications a potentiellement accès a vos données.
Cette action n'était pas affichée précédemment
Très bon article … !
Salut
C’est un petit tour…
Tu devrais le compléter en expliquant de A à Z, c’est à dire de la création à l’utilisation.
Je suis tombé sur un schéma concernant la validation et comment les données transitent (je vais essayer de remettre la main dessus), est-ce que tout le monde peut créer une application et l’utiliser sur le dit site ? …
Facebook est certainement l’exemple le plus concret et celui qui fait le plus parler de lui en ce moment, mais il ne faut pas oublier qu’il y a Google, Microsoft et bien d’autres à qui on pourrait bien reprocher des choses sur la vie privée…
J’ai hâte de lire d’autres article sur ton blog
Bonne continuation.
Jimmy.
J’ai écrit cet article pour « dénoncer » les permissions abusive qu’il était possible d’obtenir et de sensibiliser un peu le monde à ces théorisations.
Je ferais certainement un article plus poussé sur l’api en elle même qui est vraiment très puissante.
Pour répondre à tes questions, oui n’importe qui peut créer une application et la publier où il veut, il suffit juste de s’inscrire au programme de développeur et de générer une clef d’api
Quant à Google et Microsoft, il y a aussi beaucoup a dire en effet
Petit exemple d’application qui a besoin de lire les messages privés: une application pour t’avertir justement quand un message privé est recu (exemple, iflow: http://iflow.webwag.com ). En gros, pour proposer des clients alternatifs au client facebook sur d’autres plateformes….. fuat pas voir le mal partout!
Effectivement je n’avait pas pensé aux clients externes qui voient peu a peu le jour (comme l’excellent client silverlight de MS) et qui doivent avoir accès a un maximum de choses
Cependant cela n’excuse pas le fait de donner tous les accès a une appli sur une seule demande non explicite.
Très bon article … !