Кирилл Nortox, сооснователь и разработчик сервиса FBTool Pro, в своем докладе с конференции MAC 2021 рассказал об API Facebook и как он работает. Также объяснил, почему не нужно бояться автоматизации работы в Facebook.
Пути обращения к API
- Базовый путь обращения к API, который описан в документации. Для работы нужен токен.
- Требуется Cookie, но есть способ подсунуть токен. Это метод раскрывает возможности в некоторых ситуациях (например, возможна привязка карт).
- Веб прослойка между пользователем и API. Это те запросы, которые Facebook прячет от глаз разработчиков. Никто из посторонних никогда не узнает, как это делается. Запрос отправляется на сторону площадки и что-то происходит за пределами нашей видимости.
Токен
Для автоматизации нужны методы, где используется токен. Что такое токен?
Токен – это ключ доступа, который несёт в себе информацию, с какого аккаунта идут запросы, каким приложением выдан токен, какие действия может выполнять токен.
В зависимости от приложения, которое выдало токен, отличаются первые 10-15 символов.
Получение токена
Существуют два способа получить токен:
- Создание своего приложения в Facebook. Этот способ, в основном, используют сервисы для белых рекламодателей в бурже.
- Использование токена внутреннего приложения Facebook. Можно выдернуть из исходного кода страницы Ads Manager.
Приложение разработчика
Плюсы:
- Безопасность.
- Официальность.
В этом случае не важно, с какого IP, User agent идут запросы на этот API. Потому что это официальный способ работы с Facebook.
Минусы:
- Модерация.
- Лимиты. Например, если на аккаунте запущено много рекламных объявлений, поступает много комментариев от пользователей, не получится часто проверять комментарии.
- Ограниченный функционал. Не работают такие вещи, как привязка карт, создание Fan Page страниц.
- Риск бана и отключения приложения. Если заблокируется 10-15 аккаунтов за нарушение правил социальной сети, заблокируется всё приложение.
Этот способ не подходит для автоматизации. Поэтому FBTool работает с токенами, которые берут из Ads Manager.
Токен из Ads Manager
Плюсы:
- Аккаунты не связать между собой. Потому что токен выдан официальным приложением Facebook.
- Почти безграничные возможности.
Минусы:
- Нюансы с IP на аккаунтах с низким трастом.
- Сложно качественно автоматизировать доставание токенов в больших масштабах. Потому что для этого необходимо авторизоваться с трастового IP-адреса. Либо зайти по Cookie в хорошем антидетект браузере, чтобы Facebook не связал аккаунты между собой.
Обращение к API браузером
Почему токен находится в исходном коде? Чтобы Facebook мог разгрузить собственные сервера.
Например, у рекламодателя много рекламных компаний. Чтобы он не ждал, пока разом загрузится вся страница, элементы загружаются постепенно. Сначала появляется табличка, какие рекламные кампании в кабинете, потом загружаются статусы и статистика.
Постепенная загрузка происходит за счёт того, что Facebook отправляет в браузер рекламодателя скрипт, который на стороне пользователя, используя ресурсы пользователя, загружает страницу и наполняет её контентом.
Исходя из этого, этот способ получения токена не является каким-либо палевом. Потому что он создан для того, чтобы отправлять запросы к этому API. Это происходит постоянно при работе с Ads Manager.
Принцип автоматизации
По указанному выше принципу авторизовываемся по логину и паролю или по Cookie. Facebook даёт токен с нужной информацией. Он уже одобрил аккаунт. Благодаря этому браузер обращается к API. Для автоматизации выдергиваем токен и вклиниваем в это дело.
Что видит Facebook через API?
- Токен, который сам создал.
- User agent. Это модель и версия браузера.
- IP-адрес, который регулируем через прокси.
Facebook не может получить информацию о железе. Потому что, чтобы получить информацию о железе, Facebook должен дать пользователю JavaScript скрипт код, который выполнится браузером пользователя, и он сам отправит информацию Facebook. Так как разработчики могут посмотреть исходный код ответа, они видят, что никаких скриптов не передаётся.
Если работать через токен, никаких лишних сессий не появляется.
Несколько причин банов
По словам Кирилла, Facebook никогда не заблокирует аккаунт за что-то одно. Влияет совокупность факторов. На докладе он поделился несколькими причинами банов.
- Попытка взлома аккаунта.
Была ситуация с аккаунтом, который в течение года находился в сервисе. Он был добавлен без своего прокси. Работал через IP-адрес сервиса, который не совпадал с IP-адресам на реальном железе пользователя.
В тот день, когда аккаунт попытались взломать, его сбросило на пароль. Получается, что Facebook целый год ничего не волновало, но стоило сбросить пароль на аккаунте, сразу появились вопросы, упал траст аккаунта.
- Раздача интернета с телефона по проводу. У арбитражника выкашивало все аккаунты. Оказалось, что он с телефона раздавал интернет по проводу на компьютер. Через режим полёта менял IP-адрес. Когда он с этого же телефона создал беспроводную точку доступа, проблемы решились.
- Подозрительные действия в Instagram. У Кирилла в течение двух лет в сервисе был добавлен личный аккаунт. Он добавлял его много раз под разными прокси, User agent. Проблем не было. В тот день, когда он авторизовался на новом телефоне в своём Instagram-аккаунте, который был привязан к аккаунту Facebook, последний заметил подозрительный вход.
- Покупной токен. Часто токены из магазинов улетают на чекпоинт. При этом если самостоятельно достать токен, таких проблем не будет.
- Зашквар IP/подсети (в т. ч. мобильной).
Прокси для API
В лучшем случае, необходимо использовать прокси, с которых берётся токен, в том числе мобильные прокси.
Часто говорят, что в случае с мобильными прокси без смены IP-адреса Facebook свяжет десятки аккаунтов и заблокирует. Только Facebook не умеет по API связывать аккаунты по IP-адресу.
Команда FBtool проводила много тестов. Один из них: в сервис добавили очень много мобильных прокси. Было предположение, что мобильные прокси дадут дополнительный траст аккаунтам.
В итоге, в ситуациях, когда у провайдера были проблемы, и происходила смена IP-адреса, часть аккаунтов прекращали работу.
Получается, если менять IP-адрес перед запросом к каждому аккаунту вместо работы с одного IP-адреса, каждая смена IP-адреса может быть последней.
Если нет возможности работать с того IP-адреса, с которого брался токен, Кирилл советует брать стабильные по подключению типы прокси. Например, серверные IPv4.
Использование мобильных прокси
- Оправдано, если токен был взят с той же прокси.
- Без авто смены IP-адреса. Это зло.
Существует заблуждение, что при автоматической смене IP-адреса арбитражники имитируют реального пользователя, который передвигается по городу. Только у людей, которые ездят, ходят по городу, IP-адрес меняется от вышки к вышке, а не в пределах одной вышки.
Ещё мало белых рекламодателей, которые с мобильного интернета в реальной жизни запускают рекламу в Facebook.
- Чем меньшем смен IP-адреса, тем лучше.
- Количество аккаунтов на одном прокси ограничивается пропускной способностью самого прокси.
Анализ мобильной прокси
Команда FBtool сделали анализ московской мобильной прокси. Они в течение месяца каждые две минуты меняли IP-адрес. После каждой смены фиксировали IP-адрес.
О чём говорит результат анализа? Мобильные прокси – это не спасение от всех проблем и бед. Вышка одна, она даёт одни и те же IP-адреса. Facebook знает, что эти IP-адреса находятся в пределе одной вышки. Поэтому он без проблем может связать аккаунты. Особенно, когда в течение дня в новом месте заходит 10-20 аккаунтов на одну вышку и начинают запускать рекламу.
