MyBlogLog : ne spammez pas un, mais tous les blogs !

Capture MyBlogLogAlors que Yahoo! vient d'annoncer l'acquisition de MyBlogLog pour dix millions de dollars (certains avancent 35 000 comptes, ce qui ferait donc du 285 dollars par utilisateur, youhou), Techcrunch se réveille et publie un billet sur la façon de spammer le service, afin d'apparaitre toujours en tête des blocs MyBlogLog comme celui qu'on trouve dans la colonne de droite de ce blog. Se réveille, car la manip avait déjà été découverte par d'autres quelques semaines auparavant, notamment par Julio.

Qui s'amuserait à mettre en place ce dispositif, somme toute assez simple mais relativement vain, alors qu'il est possible de spammer directement tous les blogs qui affichent MyBlogLog comme le relate Robert Yeager, du blog Cooqy.com ? Je vous laisse deviner comment j'ai découvert son billet ;-)

Je testerai bien la méthode, mais je n'ai ni les compétences, ni la réelle motivation de me lancer là-dedans, même si mon audience bénéficierait sans doute de ce petit coup de pouce. Pour les amateurs, en attendant qu'une barrière soit mise en place, morceaux choisis :

MyBlogLog creates a “SID” (a unique identifier) for every user. The SID can be quickly spotted by looking at the avatar’s filename (hosted on Amazon’s S3 service). It will look like “2006113016423040″. It is simply a date and time that the MyBlogLog account was created.

The way the widget works, is that when a user signs into MyBlogLog, the SID is stored in a browser cookie. The widget simply reads the cookie and displays the avatar. This is done via a simple PHP REST-style transaction the widget performs when it loads (mybloglog.com/tr/urltrk.php). The PHP transaction parameters identifies the widget’s owner (another SID) and the viewer’s SID. So simply invoking a PHP REST transaction with the SID and the target widget’s SID is all that is needed to make an image appear at the top of the widget.

Just write a program to iterate through the online member directory, read each member’s HTML page to extract the SID, then invoke the PHP REST transaction with your account’s SID…presto, you have a very effective marketing tool to get noticed on several thousand blogs.

Bien sûr, il ne sera pas difficile pour MyBlogLog de bloquer ce comportement, ne serait-ce qu'en limitant l'affichade d'un avatar à une fois par jour. Néanmoins, il est tout de même aberrant qu'un service aussi laxiste sur le comportement de ses utilisateurs ait été vendu une telle somme !

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

Haut de page