Google jakiś czas temu wprowadziło +1 button. W ramach eksperymentu dodałem go na blogu, choć nie wiem, czy długo tam zabawi. Ale ja nie o tym... Zdobycie +1 staje się konfiturą, wartością samą w sobie, sposobem na poprawienie swojego rankingu w wynikach wyszukiwania.
+1jacking?
Mamy też sporo czegoś, co można określić jako "whateverjacking", a co doskonale wygląda głównie na demach pokazywanych podczas konferencji i innych prezentacji. Szczerze mówiąc bardziej prawdopodobne wydaje mi się wykorzystanie filejackingu, niż praktyczne wykorzystanie efektownych (konferencyjnych) przykładów z przeciąganiem tekstu, jego upuszczaniem i klikaniem na obrazkach. Tak, jestem w stanie sobie wyobrazić sytuację, gdy wystarczająco znudzony użytkownik będzie przeciągał i upuszczał obrazki w tak bezmyślny sposób, że prawie zrobi przelew, ale prawie robi różnicę.
Nie zawsze trzeba się jednak uciekać do tak skomplikowanych środków w celu uzyskania korzyści. Przykładem może być likejacking gdzie do osiągnięcia "sukcesu" wystarczy jedno kliknięcie. Podobnie może być z +1 button. A może już jest?
No dobrze, już jest. Bardzo prosty PoC: http://bootcamp.threats.pl/v/plusonejacking.html. W tym przykładzie przycisk +1 podąża za kursorem myszki tak, by "podstawić się" pod kliknięcie. Jeśli użytkownik jest zalogowany do Google i jeśli już dawał komuś +1 (mam wrażenie, że przy pierwszym +1 musi ustawić swoje opcje) to wyłudzenie +1 sprowadza się do wyłudzenia jednego kliknięcia.
Warto zwrócić uwagę, że w tym przypadku, podobnie jak w przypadku Like, ciężko jest użyć "standardowych" metod zabezpieczania przed clickjackingiem. Sprowadzają się one zwykle do tego, by nie pozwolić na osadzenie swojej strony w cudzej stronie. W tym przypadku osadzenie gadżetu na stronie jest sensem jego istnienia.
PS: czy da sie z tej chmurki przy pomocy JS wyciagnac adres email od googla? Podejrzewam, ze tak. Nie wiem czy duzy pozytek jest z tego, ale chocby do spamu/phishingu sie moze przydac
Ważniejsza jest pierwsza część pytania. Tak, komu się chce. Ja cenię sobie wygodę tego, że mogę przełączać się między usługami i nie muszę się co chwilę logować. Ma to efekt uboczny, jak "automatyczny" +1.
Dla Google też zapewne liczy się łatwość dawania +1. To taki swoisty crowdsourcing. Przypuszczam, że skoro Google chce w jakiś sposób poprawić (spersonalizować) wyniki swojego wyszukiwania, nie może wymagać od użytkownika zbyt dużego wysiłku. Czym innym jest proste kliknięcie +1, a czym innym skomplikowany "rekomendacji", stąd taki "automagizm".