Facebook rileva se hai effettuato l'accesso a Gmail


71

Oggi stavo giocando con un po 'di sicurezza web e c'è stata una sorpresa quando ho deciso di testare il link Dimentica la password su Facebook.

Ho scelto di inviare il codice di reimpostazione della password al mio indirizzo Gmail e subito dopo Facebook si apre con un'altra finestra con un messaggio che dice che non devo preoccuparmi del mio codice di reimpostazione della password poiché sono già connesso al mio account Gmail.

Ha già effettuato il login

Come possono farlo?

Immagino che abbia qualcosa a che fare con il protocollo OpenID, ma non dovrei permetterlo affinché Facebook possa interagire con il mio account Gmail?


* Puoi confermare che questo comportamento non effettua il login se esci da Gmail? * Puoi pubblicare schermate quando accedi / esci da Gmail? * Puoi aprire la finestra di ispezione della rete Firebug / Chrome e pubblicare l'intero traffico durante questo evento?
Achille,

1
Ricordo che c'era un trucco nell'usare la tua foto di Gmail: se può essere visualizzata, significa che sei registrato. Vedi Google per maggiori informazioni.
seriousdev,

Risposte:


21

I token OAuth per Google sono disponibili su https://accounts.google.com/b/0/IssuedAuthSubTokens (è diverso dagli Account collegati).

Quando l'ho provato, Facebook ha creato un popup con un prompt OAuth la prima volta e ha aperto solo brevemente un popup vuoto sui tentativi successivi. La disattivazione dell'autorizzazione di Facebook consente di visualizzare nuovamente le istruzioni.


3
Questo non è OAuth, è OpenID.
Yuliy,

@Yuliy, abbastanza sicuro che sia entrambi, ho eseguito un programma che utilizza l'API di Google Documenti e ricorda che l'API utilizza il giuramento.
Gatoatigrado,

Sì, google utilizza un ibrido oauth + openid procotol (vedi code.google.com/apis/accounts/docs/OpenID.html ).
El Yobo,

Questo è corretto. Se hai collegato il tuo account Google a Facebook, possono verificare il tuo indirizzo GMail (con la procedura di accesso OpenID immediato, senza interfaccia utente). Dopodiché non ha senso chiederti di verificare la modifica della password tramite il codice di verifica inviato a e-mail, ecc.
timdream


3

Utilizza OpenID. Se hai già usato OpenID per dare a Facebook l'accesso alla tua e-mail (come importare i tuoi contatti su Facebook), allora proverà a farlo. Se non l'hai ancora fatto, ti verrà presentato un prompt per dare accesso a Facebook (se dici di no, allora vai e aspetta che l'e-mail di reimpostazione della password ti venga consegnata).


2

In Impostazioni account, c'è una sezione "Account collegati" in cui puoi fare in modo che Facebook acceda automaticamente se hai effettuato l'accesso a uno dei tuoi account abilitati per OpenID su altri siti. Forse hai dimenticato di aver collegato il tuo account Gmail?


No, sfortunatamente non è così. L'ho provato da solo rimuovendo tutti gli account collegati. L'evento sopra si verifica ancora.
phwd

-1

Questo non è il caso. Come accennato, l'unico sito che può accedere ai cookie GMail è GMail. Ho appena testato questo metodo esatto e (non avendo mai autorizzato prima) il popup mi ha portato a una pagina del sottodominio accounts.google.com che mi chiedeva di autorizzare l'accesso per Facebook. Questo è esattamente ciò che mi aspetterei e spero accada.

Sembrerebbe che il PO abbia precedentemente autorizzato un'azione del genere, forse tramite Google Buzz o simili?

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.