Facebook wykrywa, czy jesteś zalogowany w Gmailu


71

Dzisiaj grałem z pewnymi zabezpieczeniami w sieci i zaskoczyło mnie, kiedy zdecydowałem się przetestować link Zapomnij hasło na Facebooku.

Zdecydowałem się wysłać kod resetowania hasła na mój adres Gmaila, a zaraz potem pojawia się Facebook z innym oknem z komunikatem, że nie muszę się martwić kodem resetowania hasła, ponieważ jestem już zalogowany na koncie Gmail.

już zalogowany

Jak mogą to zrobić?

Zgaduję, że ma to coś wspólnego z protokołem OpenID, ale czy nie powinienem na to pozwolić, aby Facebook mógł współpracować z moim kontem Gmail?


* Czy możesz potwierdzić, że to zachowanie się nie loguje, jeśli wylogujesz się z Gmaila? * Czy możesz publikować zrzuty ekranu po zalogowaniu / wylogowaniu z Gmaila? * Czy możesz otworzyć inspektora sieci Firebug / Chrome i opublikować cały ruch podczas tego wydarzenia?
Achille,

1
Pamiętam, że była sztuczka z użyciem Twojego zdjęcia z Gmaila: jeśli można go wyświetlić, oznacza to, że jesteś zalogowany. Zobacz Google, aby uzyskać więcej informacji.
seriousdev

Odpowiedzi:


21

Tokeny OAuth dla Google są na https://accounts.google.com/b/0/IssuedAuthSubTokens (różni się od kont połączonych).

Gdy spróbowałem, Facebook po raz pierwszy utworzył wyskakujące okienko z monitem OAuth i tylko na krótko otworzył puste wyskakujące okienko przy kolejnych próbach. Usunięcie autoryzacji Facebooka powoduje, że monity pojawiają się ponownie.


3
To nie jest OAuth, to OpenID.
Yuliy,

@Yuliy, całkiem pewne, że to jedno i drugie, uruchomiłem program, który korzysta z interfejsu API Dokumentów Google i pamiętam, że API używa przysięgi.
gatoatigrado

Tak, Google używa hybrydowego oauth + openid procotol (patrz code.google.com/apis/accounts/docs/OpenID.html ).
El Yobo,

To jest poprawne. Jeśli połączyłeś swoje konto Google z Facebookiem, mogą one zweryfikować Twój adres Gmail (z natychmiastowym procesem logowania OpenID, bez żadnego interfejsu użytkownika). Po tym nie ma sensu prosić Cię o weryfikację zmiany hasła za pomocą kodu weryfikacyjnego wysłanego na e-mail itp.
timdream


3

Używa OpenID. Jeśli wcześniej używałeś OpenID, aby dać Facebookowi dostęp do twojej poczty e-mail (np. W celu zaimportowania kontaktów do Facebooka), spróbuje to zrobić. Jeśli tego nie zrobiłeś, pojawi się monit o udzielenie dostępu do Facebooka (jeśli powiesz „nie”, po prostu idź i poczekaj na wiadomość e-mail dotyczącą resetowania hasła).


2

W Ustawieniach konta znajduje się sekcja „Połączone konta”, w której Facebook może automatycznie logować się, jeśli jesteś zalogowany na jednym z kont obsługujących OpenID w innych witrynach. Może zapomniałeś, że połączyłeś swoje konto Gmail?


Nie, niestety nie jest tak. Sam spróbowałem, usuwając wszystkie połączone konta. Powyższe wydarzenie nadal się zdarza.
phwd

-1

Tak nie jest. Jak wspomniano, jedyną witryną, która może uzyskać dostęp do plików cookie GMail, jest Gmail. Właśnie przetestowałem tę dokładną metodę i (nigdy wcześniej nie autoryzowałem) okienko poprowadziło mnie do strony w subdomenie accounts.google.com z prośbą o autoryzację dostępu do Facebooka. Właśnie tego bym się spodziewał i mam nadzieję się wydarzyć.

Wygląda na to, że OP wcześniej autoryzował takie działanie, może przez Google Buzz lub podobny?

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.