Etikettarkiv: facebook

Growth Hacking

Growth Hacking

IT-säkerhet är en stor del av min vardag och ordet hacking misstolkas en hel del. Just när det gäller Growth Hacking så handlar det om att göra små ”hacks” för att öka din försäljning, sidvisningar eller användarbas och har således inget med IT-säkerhet att göra.

Följande obligatoriska venn-diagram förklarar vad det handlar om:

growth hacking

På många företag finns det även en eller flera anställda med titeln Growth Hacker som ser till att kontinuerligt skruva och test olika metoder och sätt att åstadkomma mål. En person som jobbar som Growth Hacker är vetgirig och gillar att grotta ner sig i detaljer i alla steg, samt följer upp allt med underlag i form av statistik.

Som liten grötentreprenör så får du så klart göra allt sådant här själv så därför är det bra att ha koll på små och snabba saker som kan hjälpa ditt projekt. Börja smått och läs på och lägg sedan in i din kalender eller avsätt 15-30 minuter om dagen för Growth Hacking. Och börja i tid, redan när ditt projekt är i idéstadie så kan du fundera hur du kan nå ut för att hitta beta-användare och potentiella framtida användare.

Det finns mängder av information att läsa till sig om hur man utför Growth Hacks och jag tänkte här lista några av dem:

Kommentera gärna med egna tips eller länkar.

Så hittade jag en säkerhetsbrist på Facebook

Det var en fredagskväll för ett tag sedan och jag hade lite tid över. Jag visste sedan tidigare att Facebook uppmuntrade dess användare att hitta och rapportera in säkerhetsbrister som kan identifieras på facebook.com.

Sagt och gjort så kollade jag runt lite på vad jag skulle kunna tänkas att fokusera på för någon typ av sårbarhet. Valde att titta närmare på  Adobe Flash-filer som fanns (dvs .swf) och det var en hel del.

Tittar man på OWASP-projektets hemsida om just Flash så inser man granska snabbt att det är rätt lätt att skita i det blå skåpet om man gör fel.

Använde mig av en proxy (Charles Proxy) för att göra mitm (man in the middle) på min Facebook-trafik och sedan sökte jag helt enkelt efter .swf-referenser i koden. Hittade efter ett tag en .swf-fil som tillhörde något som heter Open Graph och denna swf hade stöd för att ladda in ytterligare moduler externt.

Sagt och gjort så testade jag att skapa en egen swf-fil som bara exekverade ett JavaScript via flash.external.ExternalInterface.call()-funktionen. Fick dock ett felmeddelande från Facebooks swf att detta ej var en giltig modul men min egna JavaScript-kod exekverades ändå #win! Totalt tog det tre timmar att hitta denna sårbarhet.

Rapporterade detta direkt till Facebook Security och inom några dagar var sårbarheten åtgärdad och mitt namn finns med i ”hall of fame”.

En stor eloge till Facebook som har detta program och uppmuntrar till att sårbarheter identifieras och åtgärdas. Andra företag såsom Google och Microsoft har insett fördelarna och startat egna program. Även så utbetalas en summa till de som hittar sårbarheter: Facebook exempelvis har ett minimum på 3300 SEK (500$).

Här kommer en skärmdump som är censurerad då min kod exekveras och som gör en alert() med meddelandet XSS:

Facebook XSS

Jonas Lejon Facebook Whitehat

Facebook börjar med annonser på iPhone?

Inatt exakt kl 00:00 så dök det upp ett antal nya ikoner i min Facebook-App på iPhone. Först trodde jag att det rörde sig om reklam för ett antal specifika appar såsom Ditto, Instagram och Gowalla. När jag klickar på ikonen så kom jag till appen om den är installerad och Appstore om den ej finns installerad.

Jag beslutade mig för att gå till botten med detta och drog igång Charles Proxy och tittade lite på JSON-trafiken och kunde då samtliga appar som listades under mitt Facebook-konto: Gowalla, Flixster,Texas HoldEm Poker, Rabble, Ditto, Kicksend, Wrapp, Marketplace, Bump,Spotify, foursquare, Instagram, Airbnb.

Några appar som listas men inte har attributet nativethirdpartyappicon: true är TripIt, Zerply och Earndit.

Min tes är att Facebook gör reklam för de appar jag har godkänt tidigare via webben exempelvis och då länkar till tillhörande iPhone (iPad?) app.

Skärmdump:

Så här ser JSON-strängen ut för Airbnb:

{"path":"fbrpc://nativethirdparty/f?fallback_url=itms%3A%2F%2Fitunes.apple.com%2Fapp%2Fid401626263&app_id=138566025676&access_token=BAAABORTKLIPPT&expires_in=3600&ref=search",

"photo":"https://fbcdn-photos-a.akamaihd.net/photos-ak-snc1/v85005/64/138566025676/app_1_138566025676_2800.gif",

"text":"Airbnb",

"uid":138566025676,

"type":"App",

"openinnewtab":true,

"nativethirdpartyappicon":true,

"paths":[],

"bootstrap":1}

Algoritmer, Facebook och f8

I torsdags kväll så hängde jag hemma hos Tripbirds med bl.a. Improove och Readmill och  tittade på när Mark Zuckerberg körde sitt keynote och berättade om nya fräsiga funktioner i Facebook. En en av de saker som slog mig gällande de utannonserade förändringarna är just algoritmer och dess betydelse som ökar markant.

Inom SEO-branschen har man länge försökt att förstå hur Googles rankningsalgoritmer fungerar men nu när Facebook spelar en allt större roll i våra dagliga beslut vid köp så kommer även fler att försöka sig på att lista ut hur Facebooks algoritmer fungerar. Du kanske spontant tänker: Men det handlar ju om vad mina vänner rekommenderar och gör? Och i sin grundform handlar det om just det. Men algoritmerna kommer att ranka, gruppera och sortera just det som vi gör.

Att en av mina vänner tittat på filmen Hackers kanske inte gör att jag kommer att uppmärksamma händelsen men att tre personer just tittade på filmen gör att den händelsen får ett större utrymme i mitt flöde eller på den specifika sidan för det verbet ”watching”. Men som alltid så kommer det finnas utrymme för manuella eller automatisk viktning av algoritmerna till den som betalar bäst?

Filterbubblan blev plötsligen mycket större.

Inloggningsförfarande

När jag bygger webbsajter nu för tiden så tänker jag efter mer än en gång vilken typ av inloggning som krävs och vad som är lämpligast. Det finns flera olika sätt och alla har sina för och nackdelar, så jag tänkte gå igenom några av dessa inloggningsförfarande här:

OpenID/FaceBook Connect/Google

Testade senast i går att använda den funktionalitet rpxnow.com erbjuder för inloggning via OpenID/Facebook Connect/Google och detta fungerade mycket bra. Värt att tänka på är att om du som sajtägare vill få uppgifter om exempelvis E-post så lämnas inte detta ut från exempelvis Facebook. Detta inloggningsförfarande är ypperligt bra då användaren ej behöver hålla koll på lösenord men kräver så klart att användaren har ett konto på någon av dessa sajter och det som du som utvecklare måste tänka på är att lagra <identifier> värdet någonstans.

Inloggning via tredjepartssajt


Om du utvecklar en applikation som använder sig av exempelvis Twitter så kan autentisering och verifiering ske direkt över Twitter genom direktmeddelanden. Exempel på ett förfarande:

  1. Följ @foobar
  2. Få ett lösenord av @foobar
  3. Logga in på sajten foobar.com med lösenordet

Med detta förfarande så behövs enbart steg 1 för att bli ”medlem” vilket snabbt kan resultera i många medlemmar.

Traditionell inloggning

Med detta menar jag att en E-postadress samt lösenord används, även här kan det vara värt att tänka till lite för att underlätta för användare att registrera sig. Exempelvis så kan det eventuellt vara tillräckligt att fråga efter E-post och skicka ett lösenord i efterhand och direkt logga in användaren utan verifiering, denna verifiering av korrekt E-post kan då ske i efterhand.