ขอสรุปเรื่อง ไวรัสในเฟส/วิธีัเเก้เบื้องต้น

peedome · 20 เมษายน 2014, 22:01:46

ตามนั้นนะครับ เนื่องจากผมเคยทำเเต่วางมือไปนานเเล้ว จิงๆก็ก๊อปเขามาเเก้เเละย้ายสติงชะ

1)ให้ลบเเอพเเปลกๆให้หมด (เวลาเล่นกิจกรรมอะไรอ่านด้วยว่ามันจะขออนุญาติเราบ้าง)
2)ท้าโดนจากเว็ปปั้มไลค์ (ซึ่งตอนนี้โดนปิดกันเกือบหมด) ให้ ลบเเอพ พวก สไกด้ หรือว่าต่างๆเเละ เปลี่ยนพาสเวริดจะทำให้ tokenเสียครับ
3)เช็คดูว่าคอมพิวเตอร์ติดโทรจันหรือไวรัสรึเปล่า ควรลง NOD32 ด้วย
4) สำคัญมาก คนไทยอยากรู้อยากเห็นโดยเฉพาะไอเเอบดูกล้องเนี่ย (คงจะ...กันสินะ) อย่าไปหลงเชื่อครับ
<เสริมผมเคยเห็นที่มันบอกว่าเเฮกเฟสเเล้วให้รัน js ในคอลโซลเนี่ย จริงๆมันได้นะครับที่โดนเเฮกคือพวกคุณเพราะว่ามันจะดักพวกคุ้กกี้ด้วยเเละท้าทำเเล้วเเฮกได้จริงท่านมาร์คเจอเเฮกเเล้ว> มีอะไรจะอัพเดทให้ครับท้าผิดทู้ขอโทษด้วยเพิ่งสมัครวันเเรก

เจ้านี่ก็สเเปมครับตัวอย่างเลย ระวังไว้พวกที่มีลิ้งค์ตามด้วย ==IDo1Zvyt3vej... เป็นต้น เเละไม่มีข้อความต่อท้าย เพราะว่าคงไม่มีใครส่งลิ้งค์เเล้วหายไปเลยหรอกครับ
http://www.bvog.com/?post=IDo1Zvyt3vejYd... <<<(ขออนุญาติลบบางตัวเดียวมีคนกด) สเเปม ลองเเล้วเข้าปัีปโดนเลย ! !

max30012540 · 20 เมษายน 2014, 22:04:08

เปลี่ยน Password ไม่ทำให้ Access Token เสียครับ

peedome · 20 เมษายน 2014, 22:05:34

เเม็คซังมาเอง เป็นเกียต จิงๆ

เเนะนำให้ลบเเอพจะดีีท่ี่สุดครับ

baprocom1 · 20 เมษายน 2014, 22:07:28

อ้างถึงจาก: max30012540 ใน 20 เมษายน 2014, 22:04:08
เปลี่ยน Password ไม่ทำให้ Access Token เสียครับ

ต่อไปนี้ โทเคนจะหมดความหมายหรือป่าว

peedome · 20 เมษายน 2014, 22:10:34

สำหรับผู้ที่โดน "สุดยอดวิธีแอบดู webcam" ไปแล้ว นี่เป็นวิธีแก้ไขนะครับ สำหรับผู้ที่กดไปแล้ว
1.) เข้าไปที่ Account > Privacy Setting
2.) เข้าไปที่ Apps and Websites คลิก Edit your settings...
3.) ในช่อง Apps you use คลิก Edit Settings
4.) Apps ที่เกิดขึ้นล่าสุด ถ้าเห็นว่ามันแปลกปลอมให้คลิก x เพื่อกดลบ
5.) เปลี่ยน Password ใหม่ โดยเข้าไปที่ Account > Account Setting ในส่วน Password ให้กด change แล้วเปลี่ยนพาสเวิร์ดใหม่
เครดิต : IT Sunday Group

unaii · 20 เมษายน 2014, 23:13:10

มันมีอยู่ 4 กรณีที่จะทำให้ Access token ที่อยู่บนฝั่ง client หมดอายุครับ
- เป็นไปตามเงื่อนไข expires time ซึ่งค่าปรกติจะอยู่ที่ 2 ชั่วโมง
- ผู้ใช้งานเปลี่ยนรหัสผ่าน
- ผู้ใช้งานทำการ de-authorizes ตัวแอ็พ
- ผู้ใช้งานล็อกเอาท์จากระบบ
แต่มันเป็นการเปลี่ยน token บนฝั่ง client เท่านั้น

เพราะโดยปรกติแล้วมันจะมีการดำเนินการ 3 ส่วนก็คือ client, server, facebook
เงื่อนไข 4 ข้อแรกเป็นเพียง short live token เท่านั้น แต่เมื่อมีการผ่านตัวกลางคือ server ทาง server ก็จะส่ง access token ไปยัง facebook อีกที หลังจากนั้นทาง facebook ก็จะทำการสร้าง long lived token เพื่อส่งกลับมายัง server(ทาง server ก็ทำการเก็บ long lived token ไว้บนฐานข้อมูล) และ long lived token ก็จะส่งกลับไปยัง client เพื่อใช้งานบนเว็บฝั่ง client ได้ตามปรกติ และตัว long lived token นี้ก็สามารถส่งไปยังฝั่ง client หรือส่งไปยัง facebook ได้โดยตรงเช่นกัน

หรือจะทำการใช้ API calls จากฝั่ง client วิ่งผ่าน proxy ไปก็ได้
หรือจะให้ server ใช้ token เก่า ส่งตรงไปขอให้ทาง facebook สร้างโค้ดแล้วส่งกลับไปฝั่ง client เพื่อสร้าง long lived token ใหม่ก็ได้อีก
ฯลฯ

อาจไม่ได้ละเอียดนะครับ เพราะถ้าว่ากันโดยละเอียดนั้นยังมีการใช้งานในแบบอื่นๆ ได้อีกพอสมควรเลย รอท่านผู้รู้ท่านอื่นๆ มาให้ความรู้นะครับ

popiazaza · 20 เมษายน 2014, 23:27:54

https://www.facebook.com/hacked
ลิ้งเดียวจบ เข้าใจตรงกันนะ

peedome · 21 เมษายน 2014, 10:12:16

ขอบคุณทุกคนท่ช่วยเเชร์ความรู้กันครับ

beerqazasa · 21 เมษายน 2014, 10:22:10

ต้องแจ้ง Mark Zuckerberg

max30012540 · 21 เมษายน 2014, 11:23:34

อ้างถึงจาก: unaii ใน 20 เมษายน 2014, 23:13:10
มันมีอยู่ 4 กรณีที่จะทำให้ Access token ที่อยู่บนฝั่ง client หมดอายุครับ
- เป็นไปตามเงื่อนไข expires time ซึ่งค่าปรกติจะอยู่ที่ 2 ชั่วโมง
- ผู้ใช้งานเปลี่ยนรหัสผ่าน
- ผู้ใช้งานทำการ de-authorizes ตัวแอ็พ
- ผู้ใช้งานล็อกเอาท์จากระบบ
แต่มันเป็นการเปลี่ยน token บนฝั่ง client เท่านั้น

เพราะโดยปรกติแล้วมันจะมีการดำเนินการ 3 ส่วนก็คือ client, server, facebook
เงื่อนไข 4 ข้อแรกเป็นเพียง short live token เท่านั้น แต่เมื่อมีการผ่านตัวกลางคือ server ทาง server ก็จะส่ง access token ไปยัง facebook อีกที หลังจากนั้นทาง facebook ก็จะทำการสร้าง long lived token เพื่อส่งกลับมายัง server(ทาง server ก็ทำการเก็บ long lived token ไว้บนฐานข้อมูล) และ long lived token ก็จะส่งกลับไปยัง client เพื่อใช้งานบนเว็บฝั่ง client ได้ตามปรกติ และตัว long lived token นี้ก็สามารถส่งไปยังฝั่ง client หรือส่งไปยัง facebook ได้โดยตรงเช่นกัน

หรือจะทำการใช้ API calls จากฝั่ง client วิ่งผ่าน proxy ไปก็ได้
หรือจะให้ server ใช้ token เก่า ส่งตรงไปขอให้ทาง facebook สร้างโค้ดแล้วส่งกลับไปฝั่ง client เพื่อสร้าง long lived token ใหม่ก็ได้อีก
ฯลฯ

อาจไม่ได้ละเอียดนะครับ เพราะถ้าว่ากันโดยละเอียดนั้นยังมีการใช้งานในแบบอื่นๆ ได้อีกพอสมควรเลย รอท่านผู้รู้ท่านอื่นๆ มาให้ความรู้นะครับ

- Expires Time ของแอพดังๆไม่มีวันหมดอายุ
- เปลี่ยนรหัสผ่านปกติไม่ทำให้ Toket เสีย ถ้าแจ้งบัญชีโดนแฮกถึงจะเสีย
- ถูกต้อง
- ไม่เกี่ยวกันครับ
Access Token คืออะไร? ทำไมพูดถงกันบ่อยนัก? Access Token เปรียบสเหมือนรหัสผ่านที่ใช้แทนรหัสผ่านจริงๆ เข้า Login เพื่อใช้งาน API ดังนั้น Access token ไม่มีทั้งผั่ง Client Server หรืออะไรทั้งนั้น
Client อย่างที่รู้ๆกันว่าคือส่วนติดต่อกับผู้ใช้ อาจจะได้ยินบ่อยในชื่อ UI หรือ GUI

วิธีการรับ Access Token
แสดงความจำนงว่าต้องการใช้งาน Access Token ด้วยการรีไดเร็คส่งเรื่องให้ Facebook ตัว Facebook จะทำการตรวจสอบว่าลิ้งส่งกลับ Access Token นั้น เป็นลิ้งที่ถูกเพิ่มไว้ใน Facebook Developer หรือไม่

จากนั้น Facebook จะถามๆ ถ้าไม่อ่าน หรือรับไปไม่คิด แน่นอนว่ามีปัญหาตามมา จากนั้น Facebook จะส่งกลับ Access Token เป็นลิ้งตัวแปร GET กลับมาในตัวแปรที่ชื่อว่า access_token แล้วจึงนำ Access Token ไปใช้งานในสิทธิ์ต่างๆตามที่ผู้ใช้อนุญาต

การใช้งาน Access Token
Access Token มีความสำคัญมากกับการเชื่อมต่อกับ Facebook API เนื่องมันเปรี่ยบสเหมือนรหัสผ่าน การนำ Access Token ไปใช้งาน ง่ายมากครับ มีหลายวิธี ประมาณ 3 - 4 วิธี ตามที่ Facebook Developer ระบุไว้ แต่วิธีที่นิยมใช้มากที่สุด คือ Facebook Graph API

ผมขอยกตัวอย่างโค้ดที่ใช้ดึงโพสเจ้าของ Access Token ตามนี้ครับ

โค้ด เลือก


<?Php
$accesstoken = ''; // You Access Token
$url = "https://graph.facebook.com/me/posts?access_token={$accesstoken}";
	
// cURL
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_TIMEOUT, 30);
$content = curl_exec($ch);
curl_close($ch);

$ar = json_decode($content, true);
var_dump($ar);

ถ้าแก้ไขตัวแปร $accesstoken แล้วนำโค้ดไปรัน จะได้รายละเอียดของโพสออกมาในรูป Array ครับ

ต่อมา หากใครใช้สคริปผม (ที่เขียนไว้ดีมาก) จะเจอปัญหากวนใจอย่าง

เอาละสิครับ ปัญหานี้ทำให้ผมกุมขมับไปครึ่งวัน จากนั้นก็ทำใจได้ครับ ต้นตอของปัญหานี้ไม่ได้มาจากผมแต่อย่างใด แต่มาจากตัว Facebook Developer ได้ทำการเพิ่มฟิวเจอร์ให้ตรวจสอบ IP ที่ใช้การใช้งาน Access Token ลงไป

ทำให้ Access Token นั้นมีปัญหา ใช้งานไม่ได้ หากในช่อง Server IP Whitelist ไม่มีการเพิ่ม IP ของเซิฟเวอร์ลงไป

จะแก้ไขปัญหานี้ยังไง?
ณ ตอนนี้ แอพของ Microsoft ยังไม่รู้ตัว หรือยังไม่ได้อัพเดทหรือยังไงก็ไม่ทราบ แต่แอพของ Microsoft ยังใช้งานได้อยู่ครับ
แต่ถัดไปอีกซัก 2 - 3 หรือ 1 เดือน แน่นอนว่าทั้งโลกจะได้รับอัพเดท จะจะถูกประกาศออกมาเป็นทางการ หลังจากนั้นก็บอกลาธุรกิจเพิ่มไลค์ใช้ Access Token ได้เลย

สร้างแอพเองไม่ได้หรอ?
โดนแบนใน 10 นาทีครับ ถ้าต้องการสร้างเองจริงๆ ควรจะทำอย่างไรก็ได้ให้มีแอกเค้า Facebook สร้างใหม่ และสร้าง App ตลอดเวลา รวมถึงโดเมนด้วยเช่นกันครับ (การโดนแบนแอพจากโดเมนเดิมซ้ำๆ โดเมนจะโดนแบนด้วย)

w_jirawat · 21 เมษายน 2014, 11:25:04

ขอบคุณครับ สำหรับข้อมูลดีๆ

chhopster · 21 เมษายน 2014, 11:32:40

เยี่ยมเลยครับ กระทู้นี้ได้ความรู้เต็ม

kakato · 21 เมษายน 2014, 11:46:43

เก็บไว้ก่อน ความรู้ทั้งนั้น

KaPong_Inter · 21 เมษายน 2014, 12:03:59

ขอบคุณฮะ สาระ ๆ

unaii · 21 เมษายน 2014, 12:53:08

เดี๋ยวจะหลงประเด็นเรื่อง token ว่าไม่มีวันหมดอายุนะครับ ต้องทำความเข้าใจก่อนว่า token นั้นมีช่วงอายุของมันเพราะมันเป็นเพียง short lived token เท่านั้น แต่ที่บอกว่าแอ็พดังๆ ไม่มีวันหมดอายุนั่นหมายถึงตัวแอ็พมีการเก็บ long lived token ไว้บนฐานข้อมูล แม้ผู้ใช้งานจะเปลี่ยนรหัสผ่านหรืออะไรก็ตามตัว long lived token นี้จะยังสามารถใช้งานได้เพราะ server ที่เก็บ token ล่าสุดเอาไว้นั้นจะส่งคำร้องไปทาง facebook เพื่อให้สร้างโค้ดใหม่ เมื่อได้โค้ดใหม่แล้วจะส่งไปยังฝั่ง client เพื่อยืนยัน หลังจากนั้นทางเฟซก็จะสร้าง long lived token ให้อีกครั้งก็ใช้งานได้ตามปรกติครับ

รายละเอียดทั้งหมดสามารถศึกษาเพิ่มเติมได้จาก Facebook Developers นะครับ ผมลงให้ดูคร่าวๆ แค่พอเสริมความเข้าใจเท่านั้น

Expiration and Extending Tokens
Access tokens on the web often have a lifetime of about two hours, but will automatically be refreshed when required(Access tokens บนฝั่งเว็บไคลแอนต์จะมีอายุ 2 ชั่วโมง แต่จะสามารถรีเฟรชใหม่ได้โดยอัตโนมัติเมื่อต้องการใช้งาน)

อ้างถึงWe will discuss 4 different scenarios:

The token expires after expires time (2 hours is the default).
The user changes her password which invalidates the access token.
The user de-authorizes your app.
The user logs out of Facebook.
Token expires after expires time

This scenario refers to the use case where a user has authorized your app in the past, but the access token that you were issued has expired.

When you try to make Graph API call on her behalf you will get an HTTP 400 with the following error in the body:

{
error: {
type: "OAuthException",
message: "Session has expired at unix time
SOME_TIME. The current unix time is SOME_TIME."
},
}
Scenario 2: User changes her password

This scenario refers to use case where a user has authorized your app in the past and then she changes the password associated with her Facebook account. In this scenario, when you try to make Graph API call on her behalf you will get an HTTP 400 with the following error in the body:

{
error: {
type: "OAuthException",
message: "The session has been invalidated because
the user has changed the password.",
},
}
Please note that you will receive this message even if your app was granted the offline_access permission if the user changed their password.

Scenario 3: User de-authorizes your app

This scenario refers to a use case where a user has authorized your app in the past, but then she de-authorizes your app by going to the App Dashboard. In this scenario when you try to make a Graph API call on her behalf you will get a HTTP 400 with the following error in the body:

{
error: {
type: "OAuthException",
message: "Error validating access token: USER_ID
has not authorized application APP_ID",
},
}
Please note that even if the user had authorized your app with the offline_access permission access tokens will become invalid if the user de-authorizes your app.

Scenario 4: User logs out of Facebook

This scenario refers to a use case where a user has authorized your app in the past and then she logs out of Facebook. If the user authorized your app with the offline_access permission then the Graph API call works as expected. If the user did not grant this permission and you try to make a Graph API call on behalf of the user, you will get an HTTP 400 with the following error in the body:

{
"error": {
"type":"OAuthException","message":"Error validating
access token: The session is invalid because the
user logged out."
}
}

Native client or web client makes API calls with token:

Web client makes API calls after exchanging the short-term token for a long-term token:

Web client makes API calls after code exchange for long-term token (Rarely used):

Login on Client, API Calls from Server

Login on Client, API Calls from Client or Server