Que tal.

El "Bug" no es tal bug.
Solo podremos ver albumes los cuales la gente que lo/s creo, les hayan puesto permisos flexibles ( que otros que no sean amigo lo/s pueda/n ver ).

Mi novia ha tenido la amabilidad de escucharme ( no quiere saber nada sobre informatica, y menos viniendo de mi! ) y de crear delante mio un album en Facebook. Resulta que en dicho proceso, es al principio de la creacion cuando Facebook te pregunta quien queremos que vea dicho album.

Por ello, no es que se cree el album y haya que retocar despues los permisos ante un posible permiso flexible por defecto, no. Facebook te lo pregunta en un formulario a la hora de crearlo, y justo al principio.
Por ello podremos ver los albumes los cuales se crearon con "toda" consciencia de los permisos por parte de la persona creadora del album.

Si el album tiene permisos solo para amigos o privado (?), no podremos verlos. Si la persona no tiene albumes, nos saldra el mismo error.

Resumiendo no es un bug, es solo una manera de aprovechar la API y el fql para facilitar la busqueda de albumes abiertos.
Cabe recalcar que los filtros para los permisos en los albumes son muy minuciosos, y me ha sorprendido cuan agudos son.

Suerte.

  /**** MODIFIKO ****/
Bueno, no se nos pregunta por el filtrado JUSTO al principio, pero si en plena creacion.

Que tal sdc?!

Bueeeeeeeeeenooo.. xD!!

Pero yo tampoco lo veo una vulnerabilidad!!

Saludos.

La vulnerabilidad es que Facebook por el diseño de su sitio, hace que las galerias publicas no sean visibles a los usuarios regulares. Lo que da la sensacion de que tener el perfil privado es suficiente.

Esto seria "casi" verdad, si no existieran estos metodos de obtencion del aid (porque si no existieran los tendrias que "bruteforcear"). Esta inconsistencia en su modelo, representa una amenaza a la privacidad de los usuarios, lo cual es un riesgo, y por consiguiente, es una vulnerabilidad. Porque explota el diseño de la aplicacion, afectando la confidencialidad del usuario.

Saludos!!

AAAAAAA, claro, entones era por eso que en el perfil de un amigo aparecia como empty, entonces queda en que se pueden ver todas las imagenes de perfiles, siempre y cuando el album no requiera permisos extra 

Saludos

se, por ejemplo un album creado aplicando atributos como solo visible para amigos
alque no se puede acceder aun sabiendo su aid seria http://www.facebook.com/album.php?aid=2001791&id=1546388293

igualmente dentro de la tabla album hay una columna perteneciente a los atributos del album que se llama 'visible' ej:

SELECT link,visible FROM album WHERE owner=1546388293

para filtrar los resultados y obtener los albums sin atributo alguno osea accesible para todos seria

SELECT link FROM album WHERE owner=1546388293 AND visible='everyone'

bah eso pienso yo nose ...
no sigo probando xq me bloquaron las dos cuentas 

Saludos

No me bloquearon la cuenta entera pero me bloquearon el servicio de FQL osea quiero entrar en http://developers.facebook.com/tools.php y me aparece este cartel...

Se supone q en facebook las fotos tuyas las podes ver vos, tus amigos y los amigos de tus amigos como maximo

y no cualquiera que quiera.. para eso tendria q tener el link con el id del album (cosa q se lo tendrias q pasar vos)