Facebook виявляє, чи ви ввійшли в Gmail


71

Сьогодні я грав з якоюсь мережевою безпекою, і був сюрприз, коли я вирішив перевірити посилання Забути пароль у Facebook.

Я вирішив надіслати код скидання пароля на свою адресу Gmail, і відразу після цього Facebook вискакує ще одне вікно з повідомленням про те, що мені не потрібно турбуватися про код скидання пароля, оскільки я вже увійшов у свій обліковий запис Gmail.

Вже увійшли

Як вони можуть це зробити?

Я здогадуюсь, що це має щось спільне з протоколом OpenID, але чи не повинен я дозволити це для того, щоб Facebook взаємодів із моїм обліковим записом Gmail?


* Чи можете ви підтвердити, що ця поведінка не входить у систему, якщо ви вийшли з Gmail? * Чи можете ви публікувати знімки екрана під час входу / виходу з Gmail? * Чи можете ви відкрити інспектор мережі Firebug / Chrome та опублікувати весь трафік під час цієї події?
Ахілл

1
Я пам’ятаю, що у вашому зображенні Gmail був хитрість: якщо він може відображатися, це означає, що ви зареєстровані. Докладнішу інформацію див. У Google.
серйозний

Відповіді:


21

Маркери OAuth для Google розміщені за адресою https://accounts.google.com/b/0/IssuedAuthSubTokens (це відрізняється від пов'язаних облікових записів).

Коли я спробував це, Facebook створив спливаюче вікно з підказкою OAuth з першого разу і лише на короткий час відкрив порожнє спливаюче вікно для наступних спроб. Скасування авторизації Facebook змушує запити з’являтися знову.


3
Це не OAuth, це OpenID.
Юлій

@ Юлій, майже впевнений, що це обоє, я запустив програму, яка використовує API Документів Google, і пам’ятаю, що API використовує клятву.
gatoatigrado

Так, Google використовує гібридну OAuth + procotol OpenID (див code.google.com/apis/accounts/docs/OpenID.html ).
El Yobo

Це правильно. Якщо ви пов’язали свій обліковий запис Google з Facebook, вони можуть підтвердити вашу адресу GMail (за допомогою негайного процесу входу в OpenID, без будь-якого інтерфейсу користувача). Після цього немає сенсу просити вас перевірити зміну пароля через код підтвердження, надісланий на електронну пошту тощо.
timdream

8

Ви подивилися на свій обліковий запис Google, щоб побачити, чи давали ви дозвіл Facebook на доступ до вашої інформації Google?


Де це можна побачити?
Грак

1
@Idigas - Інформаційна панель AFAICT показує це ( google.com/dashboard ) - вгорі розташовано "Веб-сайти, дозволені на доступ до облікового запису", які переносять мене на account.google.com/IssuedAuthSubTokens
Джеймс Меннінг

Якщо у вас є обліковий запис Google+, перейдіть безпосередньо сюди .
Олексій

3

Він використовує OpenID. Якщо ви раніше використовували OpenID для надання доступу Facebook до вашої електронної пошти (наприклад, для імпорту контактів у Facebook), то він спробує це зробити. Якщо ви цього не зробили, то вам буде запропоновано надати доступ до Facebook (якщо ви скажете "ні", тоді просто перейдіть і дійсно чекайте, поки електронний лист для відновлення пароля буде доставлений вам).


2

У налаштуваннях облікового запису є розділ "Пов'язані облікові записи", де ви можете автоматично входити в систему Facebook, якщо ви входите в один із своїх облікових записів, що підтримуються OpenID, на інших сайтах. Можливо, ви забули, що зв’язали свій обліковий запис Gmail?


Не, на жаль, це не так. Я сам спробував видалити всі пов’язані облікові записи. Подія вище все ще трапляється.
phwd

-1

Це не так. Як згадувалося, єдиний сайт, який може отримати доступ до файлів cookie GMail, - це GMail. Я щойно перевірив цей точний метод і (ніколи раніше не авторизувавшись), спливаюче вікно перенесло мене на сторінку в піддомені account.google.com із проханням надати дозвіл на доступ до Facebook. Це саме те, що я очікував і сподіваюся, що це станеться.

Можливо, ОП раніше санкціонувало таку акцію, можливо, через Google Buzz чи подібне?

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.