Facebook wykrywa, czy jesteś zalogowany w Gmailu

71

Dzisiaj grałem z pewnymi zabezpieczeniami w sieci i zaskoczyło mnie, kiedy zdecydowałem się przetestować link Zapomnij hasło na Facebooku.

Zdecydowałem się wysłać kod resetowania hasła na mój adres Gmaila, a zaraz potem pojawia się Facebook z innym oknem z komunikatem, że nie muszę się martwić kodem resetowania hasła, ponieważ jestem już zalogowany na koncie Gmail.

już zalogowany

Jak mogą to zrobić?

Zgaduję, że ma to coś wspólnego z protokołem OpenID, ale czy nie powinienem na to pozwolić, aby Facebook mógł współpracować z moim kontem Gmail?

— Raisen
źródło

* Czy możesz potwierdzić, że to zachowanie się nie loguje, jeśli wylogujesz się z Gmaila? * Czy możesz publikować zrzuty ekranu po zalogowaniu / wylogowaniu z Gmaila? * Czy możesz otworzyć inspektora sieci Firebug / Chrome i opublikować cały ruch podczas tego wydarzenia?

— Achille,

1

Pamiętam, że była sztuczka z użyciem Twojego zdjęcia z Gmaila: jeśli można go wyświetlić, oznacza to, że jesteś zalogowany. Zobacz Google, aby uzyskać więcej informacji.

— seriousdev

21

Tokeny OAuth dla Google są na https://accounts.google.com/b/0/IssuedAuthSubTokens (różni się od kont połączonych).

Gdy spróbowałem, Facebook po raz pierwszy utworzył wyskakujące okienko z monitem OAuth i tylko na krótko otworzył puste wyskakujące okienko przy kolejnych próbach. Usunięcie autoryzacji Facebooka powoduje, że monity pojawiają się ponownie.

— antymateria 15
źródło

3

To nie jest OAuth, to OpenID.

— Yuliy,

@Yuliy, całkiem pewne, że to jedno i drugie, uruchomiłem program, który korzysta z interfejsu API Dokumentów Google i pamiętam, że API używa przysięgi.

— gatoatigrado

Tak, Google używa hybrydowego oauth + openid procotol (patrz code.google.com/apis/accounts/docs/OpenID.html ).

— El Yobo,

To jest poprawne. Jeśli połączyłeś swoje konto Google z Facebookiem, mogą one zweryfikować Twój adres Gmail (z natychmiastowym procesem logowania OpenID, bez żadnego interfejsu użytkownika). Po tym nie ma sensu prosić Cię o weryfikację zmiany hasła za pomocą kodu weryfikacyjnego wysłanego na e-mail itp.

— timdream

8

Czy spojrzałeś na swoje konto Google, aby sprawdzić, czy zezwoliłeś Facebookowi na dostęp do twoich informacji Google?

— microft
źródło

Gdzie to widać?

— Rook

1

@Idigas - AFAICT Dashboard pokazuje to ( google.com/dashboard ) - w górnej części znajdują się „Strony internetowe upoważnione do dostępu do konta”, które prowadzą do accounts.google.com/IssuedAuthSubTokens

— James Manning

Jeśli masz konto Google+, przejdź bezpośrednio tutaj .

— Alex,

3

Używa OpenID. Jeśli wcześniej używałeś OpenID, aby dać Facebookowi dostęp do twojej poczty e-mail (np. W celu zaimportowania kontaktów do Facebooka), spróbuje to zrobić. Jeśli tego nie zrobiłeś, pojawi się monit o udzielenie dostępu do Facebooka (jeśli powiesz „nie”, po prostu idź i poczekaj na wiadomość e-mail dotyczącą resetowania hasła).

— Julia
źródło

2

W Ustawieniach konta znajduje się sekcja „Połączone konta”, w której Facebook może automatycznie logować się, jeśli jesteś zalogowany na jednym z kont obsługujących OpenID w innych witrynach. Może zapomniałeś, że połączyłeś swoje konto Gmail?

— Charlie Melbye
źródło

Nie, niestety nie jest tak. Sam spróbowałem, usuwając wszystkie połączone konta. Powyższe wydarzenie nadal się zdarza.

— phwd

-1

Tak nie jest. Jak wspomniano, jedyną witryną, która może uzyskać dostęp do plików cookie GMail, jest Gmail. Właśnie przetestowałem tę dokładną metodę i (nigdy wcześniej nie autoryzowałem) okienko poprowadziło mnie do strony w subdomenie accounts.google.com z prośbą o autoryzację dostępu do Facebooka. Właśnie tego bym się spodziewał i mam nadzieję się wydarzyć.

Wygląda na to, że OP wcześniej autoryzował takie działanie, może przez Google Buzz lub podobny?

— Matt
źródło