Notifica urgente da Facebook per Simple Facebook Connect

Ieri mattina, avendo attive varie applicazioni di Facebook utilizzate per far funzionare Simple Facebook Connect, ho ricevuto per ciascuna una notifica simile alla seguente:

Dear Developer of Blog AlterVista,

Our automated systems have detected that you may be inadvertently allowing authentication data to be passed to 3rd parties. Allowing user ids and access tokens to be passed to 3rd parties, even inadvertently, could allow these 3rd parties to access the data the user made available to your site. This violates our policies and undermines user trust in your site and Facebook Platform.

In every case that we have examined, this information is passed via the HTTP Referer Header by the user’s browser. This can happen when using our legacy authentication system and including <iframe>, <img> or <script> content from 3rd parties in the page that receives authentication data from Facebook. Our legacy mechanism passes authentication information in the URL query string which, if handled incorrectly, can be passed to 3rd parties by the browser. Our current OAuth 2.0 authentication system, released over a year ago, passes this information in the URL fragment, which is not passed to 3rd parties by the browser.

Please ensure that you are not allowing this data to be passed immediately. Accessing your site as a test user while running a HTTP proxy/monitor like Charles or Fiddler is the best way to determine if you are allowing this information to be passed. If you discover the issue, you can do one of two things:

1. Migrate your site to use our OAuth 2.0 authentication system. We are requiring all apps and sites to update to this mechanism by Sept. 1, 2011. Migrating now will address this issue and ensure that you are one of the first to meet the deadline. For more details, please see our Authentication Guide.

2. Create and use an interstitial page to remove the authentication data before redirecting to your page with 3rd party content. This approach is used by many of our largest developers today (although they are all migrating to OAuth 2.0 shortly). This is a simple and straightforwardchange that should have minimal impact on your site. For more details on this approach, see our Legacy Connect Auth doc.

Because of the importance of ensuring user trust and privacy, we are asking you to complete one of the above steps in the next 48 hours. If you fail to do so, your site may be subject to one of the enforcement actions outlined in our policies.

If you have any questions or believe you have received this message in error, please contact us.

Facebook Developer Relations

Questa notifica sembra esser stata inviata da Facebook a tutti coloro che hanno applicazioni Facebook che funzionano con l’autenticazione via iframe (come il plugin Simple Facebook Connect). Nonostante l’aspetto minaccioso (48h di tempo), sembra che abbia lo scopo più che altro di sollecitare la migrazione al nuovo sistema di autenticazione OAuth 2.0.

Per chi utilizza Simple Facebook Connect, l’autore (Otto) ha assicurato che, entro il termine previsto da Facebook per la dismissione del vecchio sistema (1 Settembre 2011), rilascerà un aggiornamento del plugin che sfrutterà OAuth 2.0. Quindi non ci resta che attendere e stare tranquilli: ho ricevuto una risposta dal servizio di assistenza di Facebook in cui dicevano di sollecitare l’autore del plugin per un aggiornamento, ma non hanno accennato ad alcun rischio di chiusura dell’applicazione.

Precedente I Feed di WordPress: globale, commenti, categoria, tag e autore Successivo Feed WordPress: aggiungere le miniature dei post e modificare le impostazioni
  • Per me che utilizzo le applicazioni per creare tabs sulle fan page in sostanza cosa devo fare? Le mie app altro nn sn che iframes che incorporano pagine web all’interno della pagina facebook..

    • Dovresti chiedere direttamente a Facebook, il tuo problema non riguarda WordPress. Comunque sembra fosse solo una mail “intimidatoria” mandata a tutti quelli che hanno un’applicazione, non mi preoccuperei troppo.

  • Ciao, grazie per la risposta!
    Ti giro il link di un’applicazione..
    http://www.facebook.com/giardinodeisensi
    Dimmi se secondo te mi riguarda…
    Wordpress non c’entra nulla.

    • Non sono esperto di applicazioni Facebook, ma se alla fine usa solo iframe direi di no. La mail si riferiva a chi integra facebook sul proprio sito e deve passare dalla vecchia libreria di funzioni alla nuova.,

    • Per lavoro ho approfondito la cosa, e se non erro, per integrare degli iframe nelle fanpage si dovrà utilizzare https. Dovrai fare questo passaggio, se non l’hai già fatto.

  • Sai dirmi cosa va fatto esattamente? Hai qualche link o tutorial da consigliarmi?

    • Filippo Silvestro

      Guardando la tab della fanpage che hai creato mi sembra che lato Facebook sia tutto configurato correttamente, infatti utilizzi un servizio (social-server.com) che richiama la tua tab con https. L’unico problema che noto è che nella tab viene richiamato un altro iframe (su yangadv.com) con connessione http. Questo con firefox e chrome non è un problema grave, ma se provi a visualizzare la pagina con internet explorer ti appare un avviso di protezione e la tab non viene caricata. Per risolvere dovresti erogare tutto il contenuto di su https e quindi ti conviene chiedere a chi si occupa dell’hosting di questa pagina se possiede un certificato valido e se il server è configurato per utilizzare https.

  • Non mi occupo di facebook e quindi al di là di quel poco che serve per l’integrazione con WordPress non ti so dire molto. Prova a leggere questa comunicazione ufficiale di Facebook.