Unfurl v2022.11:社交媒体版
这个"社交媒体版"Unfurl发布版本包含解析Twitter分享代码、从Mastodon和LinkedIn ID提取时间戳、展开Substack重定向链接等功能!
除了Twitter引人注目的变化外,还有一些逐渐发生的不太明显的变化:查询字符串参数。几年前(大概是2018年?)出现了s参数,人们(包括我自己)开始推测并试图弄清楚它的用途。通过实验,s值为19、20和21的含义似乎相当明确:它们分别表示分享来源为Android、Twitter Web和iOS(Unfurl也这样解析它们)。
几周前,有人在查看Twitter的JavaScript文件时发现了一个包含71个分享代码映射的对象!他们友好地与我分享了这一发现(感谢2xyo!),我将其添加到了Unfurl中。这些代码通常显示设备类型(iOS、iPhone、Android、网页浏览器)和用于分享推文的方法(电子邮件、WhatsApp、复制)的组合。
以下是s代码含义的清理解释:
| s参数 | 分享来源 |
|---|---|
| 01 | Android使用SMS |
| 02 | Android使用电子邮件 |
| 03 | Android使用Gmail |
| … | … |
| 71 | iPad使用LinkedIn |
除了s参数外,我们还看到t参数逐渐推出。我不认为Twitter以外的人确切知道t参数是如何构建的,但从我的观察来看,每个设备在一段时间内似乎是一致的。
Mastodon
这实际上不是一个新解析器(它在Unfurl中已经存在几年了),但随着对Mastodon兴趣的增加,我认为值得提及。Mastodon在某些方面与Twitter相似;其中之一是"toots"(Mastodon的推文版本)的URL包含嵌入的时间戳。
由于Mastodon的联邦性质,它可能运行在Unfurl不知道的域上。为了避免误报,我只有一个简短的允许列表域来解析为Mastodon实例。
一段时间前,我进行了一些研究,发现了如何剖析TikTok标识符并提取时间戳。Ollie Boyd发现LinkedIn帖子URL中的ID具有类似的构成,并制作了一个工具来提取这些时间戳。我已将此功能添加到Unfurl中。
LinkedIn消息ID
事实证明,这些LinkedIn ID在更多地方使用,而不仅仅是帖子。它们过去出现的一个地方是消息线程中。
这些新的ID(我称之为"v2",从开头的2-开始)是base64编码的UUID,附加了一些字符。我回顾了我的LinkedIn消息线程,一直追溯到2009年,发现了一些有趣的事情。较旧的消息线程具有符合UUIDv5(基于名称)形式的UUID,而较新的则符合UUIDv4。
LinkedIn个人资料ID
几个月前,Jack Crook展示了如何解码LinkedIn个人资料ID并利用它们的顺序性质来估计个人资料创建时间。
跟踪URL参数
许多网站向链接添加URL参数以帮助用户跟踪和分析。这不是一种新做法;我们都看到过一堆参数附加在链接末尾。作为调查人员,我们有时可以使用这些参数推断更多信息:用户如何点击链接、链接在哪个网站上,甚至他们何时点击它。
这些参数是键/值对;例如,在utm_source=newsletter中,键是utm_source,值是newsletter。
Substack
我也看到Substack越来越受欢迎。到目前为止,我只订阅了grugq的"The Info Op",但那里也有很多其他好的内容。我通常通过电子邮件阅读它,并注意到所有链接都通过Substack重定向。我将Substack的重定向链接展开功能添加到了Unfurl中。
获取方式
这些是此Unfurl版本中的主要项目。还有更多更改未包含在博客文章中;请查看发布说明以获取更多信息。要获取具有这些最新更新的Unfurl,您可以:
- 在线使用:dfir.blog/unfurl 或 unfurl.link
- 如果使用pip,
pip install dfir-unfurl -U将升级您的本地Unfurl到最新版本 - 在GitHub上查看发布
所有功能在Web UI和命令行版本(unfurl_app.py和unfurl_cli.py)中均可工作。