Nie ma to jak emal od Facebooka mówiący o tym, że jak w 48 godzin nie poprawi się instalacji Facebookowego connecta to czekają nas konsekwencje (w domyśle strona zostanie zablokowana). Wszystko prawdopodobnie dotyczy wtyczek do min. WordPressa które jak zgaduję nie korzystają z OAuth 2.0. Oczywiście przeciętny użytkownik WP z minimalną wiedzą techniczną (tak jak w moim przypadku) na temat zagadnień związanych z łączeniem z Facebookiem będzie na pewno dość zagubiony po przeczytaniu notki od FB. Szczególnie jeśli korzysta z dobrodziejstwa pluginów do skryptu forum – instaluje się je szybko i zapomina do momentu kiedy przychodzi nowa aktualizacja.

Co ciekawe dodatek do WP z którego ja korzystam czyli Simple Facebook Connect był aktualizowany w styczniu 2011 tym bardziej więc zdziwiony jestem, że nie spełnia wymogów związanych z OAuth 2.0 jakie podobno FB wdrożył już rok temu. Nigdy też wcześniej FB nie przysyłał żadnych ostrzeżeń czy informacji związanych z korzystaniem z przestarzałej czy też nie rekomendowanej technologi przy łączeniu z serwisem.

Teraz jednak okazuje się, że coś jest nie tak i instalacje trzeba poprawić. Po szybkim wrzuceniu hasła w Google okazuje się, że wiele osób dostało tego typu informacje od Facebooka. Co gorsza trudno jest znaleźć wtyczkę do WP, która w obecnej chwili spełnia wymagania FB.

Można więc rozwiązać problem na dwa sposoby. Zgłosić się do developera wtyczki którą się używa aby ją poprawił zgodnie z wytycznymi Facebooka, lub też podjąć się instalacji połączenia z FB na własną rękę. W obu przypadkach jednak czas jaki daje Facebook czyli 48 godzin może okazać się nie wystarczający (szczególnie dla osób które nie mają podstawowej wiedzy technicznej).

Jeśli więc dostaliście podobnie brzmiącą informacje od Facebooka (poniżej przytaczam całą wiadomość) to polecam na początek wyłączenie wszystkich dodatków do FB a potem na spokojnie przeanalizowanie możliwych rozwiązań.

Oto treść informacji od Facebooka

Dear Developer of Antyweb,

Our automated systems have detected that you may be inadvertently allowing authentication data to be passed to 3rd parties. Allowing user ids and access tokens to be passed to 3rd parties, even inadvertently, could allow these 3rd parties to access the data the user made available to your site. This violates our policies and undermines user trust in your site and Facebook Platform.

In every case that we have examined, this information is passed via the HTTP Referer Header by the user’s browser. This can happen when using our legacy authentication system and including <iframe>, <img> or <script> content from 3rd parties in the page that receives authentication data from Facebook. Our legacy mechanism passes authentication information in the URL query string which, if handled incorrectly, can be passed to 3rd parties by the browser. Our current OAuth 2.0 authentication system, released over a year ago, passes this information in the URL fragment, which is not passed to 3rd parties by the browser.

Please ensure that you are not allowing this data to be passed immediately. Accessing your site as a test user while running a HTTP proxy/monitor like Charles or Fiddler is the best way to determine if you are allowing this information to be passed. If you discover the issue, you can do one of two things:

1. Migrate your site to use our OAuth 2.0 authentication system. We are requiring all apps and sites to update to this mechanism by Sept. 1, 2011. Migrating now will address this issue and ensure that you are one of the first to meet the deadline. For more details, please see our Authentication Guide.

2. Create and use an interstitial page to remove the authentication data before redirecting to your page with 3rd party content. This approach is used by many of our largest developers today (although they are all migrating to OAuth 2.0 shortly). This is a simple and straightforwardchange that should have minimal impact on your site. For more details on this approach, see our Legacy Connect Auth doc.

Because of the importance of ensuring user trust and privacy, we are asking you to complete one of the above steps in the next 48 hours. If you fail to do so, your site may be subject to one of the enforcement actions outlined in our policies.

If you have any questions or believe you have received this message in error, please contact us.

Facebook Developer Relations
Spodobał Ci się tekst? Poleć znajomym:

Tagi: ,

iStore

iStore

  • http://www.pewu.org Piotr

    Ej, a to nie jest jakiś phishing?

  • http://na-plus.blogspot.com/ na-plus

    Oj tam, oj tam – to już bez Facebooka AntyWeb nie jest fajny???
    Szata dla człowieka, czy człowiek dla szaty ;-)

  • http://www.facebook.com/profile.php?id=100002292112018 Grzegorz Liput

    Chcąc nie chcąc facebook jest bardzo popularny i trzeba trochę mu się podporządkować. Sam prowadzę bloga i korzystam z kilku aplikacji od FB. Oczywiście 2 dni to śmieszny termin oraz dość nierealny. Wiadomo, że antyweb czy jakikolwiek inny blog bez dodatków FB przeżyje, ale może mocno stracić na funkcjonalności.
    Życzę pomyślnego rozwiązania sprawy i
    pozdrawiam
    Grzegorz Liput
    http://9PotegEbiznesu.pl

  • b.

    Oj, oj, jak ten FB dba o prywatność swoich użytkowników! Aż mi się łezka w oku zakręciła ze wzruszenia.

  • http://www.facebook.com/tomek.sulkowski Tomek Sułkowski

    „polecam na początek wyłączenie wszystkich dodatków do FB a potem na spokojnie przeanalizowanie możliwych rozwiązań.”

    Czyli jesteś już po przeanalizowaniu wszystkich rozwiązań, czy nie stosujesz się do własnych zaleceń? ;)

  • http://sh4dow.pl Tomasz Sh4dow Budzyński

    A tak niedawno był artykuł o tym jaki WP z wtyczkami jest super. A autorski produkt ze wsparciem za który trzeba zapłacić jest bee. To są właśnie takie bardzo sporadyczne sytuacje, dla których warto zapłacić i mieć jakiś support.
    A co do samego maila, to pewnie sytuacja wygląda tak że od roku jest wprowadzony OAuth 2.0 a korzysta z niego pewnie bardzo mało ludzi. Wiec ostre ultimatum wymusi na wszystkich zmiane. To jest Facebook, ich stać na takie kroki. I tak wszyscy potulnie poprawia swoje wtyczki i connect’ory :)

  • http://www.facebook.com/quique2100 Filip Bartłomiej Misiewicz

    Oto kolejny dowód na tezę, iż z Facebookiem można nie tylko zarobić, ale i stracić miliony. Przeportowanie gry w 48h godzin nie jest już takie proste, gdy korzysta z wielu wyszukanych opcji API, o kosztach nie wspomnę…

    • http://www.facebook.com/czepol Marcin Szepczyński

      Chyba nie wiesz o czym piszesz. W takim wypadku nie portujesz całej gry, tylko musisz przepisać drobną część odpowiedzialną za autoryzację. Poza tym masz masę dostępnych bibliotek i dokumentacji protokołu na http://oauth.net/

  • jgy

    To kiedy zaczniecie KsięgoTwarz olewać?

  • http://www.facebook.com/mateusz.wachowiak Mateusz Wachowiak

    korzystam z AWPCP dla integracji komentarzy oraz Facebook Connect do logowania. Serwis trochę więcej niż blog… bardziej lokalny portal informacyjny. Póki co bez żadnych ostrzeżeń od FB

  • sieciobywatel

    W skrócie grzecznie Cię poinformowali, że obecnie przesyłasz facebook id oraz tokeny sesji klikających u Ciebie w LikeIt nie bezpośrednio do Facebooka, ale za pośrednictwem trzeciego serwisu. Co – zresztą słusznie – widziane jest przez nich jako zagrożenie dla użytkowników. Aż dziwne, że nie wyłaczyli tego od razu.

    Pluginy obsługujące OATH 2.0 są, ale płatne. A o ile pamiętam już pół roku temu było głośno o wycofywaniu sie z REST API przez Facebooka, bodajże kiedy Zuckerbergowi przejęto sesję. Nie pamiętam dokładnie, bo praktycznie FB nie używam, ale dość głośno o tym było.

  • Pingback: Bing pokazuje, które wyniki wyszukiwania lubią twoi znajomi [Przegląd SM] | naFejsie

  • Tomek
  • Kos

    I znowu ortograf się wkradł do artykułu.. :) Może pora na nową korektę?