Facebook rileva se hai effettuato l'accesso a Gmail

71

Oggi stavo giocando con un po 'di sicurezza web e c'è stata una sorpresa quando ho deciso di testare il link Dimentica la password su Facebook.

Ho scelto di inviare il codice di reimpostazione della password al mio indirizzo Gmail e subito dopo Facebook si apre con un'altra finestra con un messaggio che dice che non devo preoccuparmi del mio codice di reimpostazione della password poiché sono già connesso al mio account Gmail.

Ha già effettuato il login

Come possono farlo?

Immagino che abbia qualcosa a che fare con il protocollo OpenID, ma non dovrei permetterlo affinché Facebook possa interagire con il mio account Gmail?

— Raisen
fonte

* Puoi confermare che questo comportamento non effettua il login se esci da Gmail? * Puoi pubblicare schermate quando accedi / esci da Gmail? * Puoi aprire la finestra di ispezione della rete Firebug / Chrome e pubblicare l'intero traffico durante questo evento?

— Achille,

1

Ricordo che c'era un trucco nell'usare la tua foto di Gmail: se può essere visualizzata, significa che sei registrato. Vedi Google per maggiori informazioni.

— seriousdev,

21

I token OAuth per Google sono disponibili su https://accounts.google.com/b/0/IssuedAuthSubTokens (è diverso dagli Account collegati).

Quando l'ho provato, Facebook ha creato un popup con un prompt OAuth la prima volta e ha aperto solo brevemente un popup vuoto sui tentativi successivi. La disattivazione dell'autorizzazione di Facebook consente di visualizzare nuovamente le istruzioni.

— antimatter15
fonte

3

Questo non è OAuth, è OpenID.

— Yuliy,

@Yuliy, abbastanza sicuro che sia entrambi, ho eseguito un programma che utilizza l'API di Google Documenti e ricorda che l'API utilizza il giuramento.

— Gatoatigrado,

Sì, google utilizza un ibrido oauth + openid procotol (vedi code.google.com/apis/accounts/docs/OpenID.html ).

— El Yobo,

Questo è corretto. Se hai collegato il tuo account Google a Facebook, possono verificare il tuo indirizzo GMail (con la procedura di accesso OpenID immediato, senza interfaccia utente). Dopodiché non ha senso chiederti di verificare la modifica della password tramite il codice di verifica inviato a e-mail, ecc.

— timdream

8

Hai esaminato il tuo account Google per vedere se hai autorizzato Facebook ad accedere alle tue informazioni di Google?

— microft
fonte

Dove lo si può vedere?

— Rook

1

@Idigas - AFAICT Dashboard lo mostra ( google.com/dashboard ) - nella parte superiore c'è "Siti web autorizzati ad accedere all'account" che mi porta agli account.google.com/IssuedAuthSubTokens

— James Manning

Se hai un account Google+, vai direttamente qui .

— Alex,

3

Utilizza OpenID. Se hai già usato OpenID per dare a Facebook l'accesso alla tua e-mail (come importare i tuoi contatti su Facebook), allora proverà a farlo. Se non l'hai ancora fatto, ti verrà presentato un prompt per dare accesso a Facebook (se dici di no, allora vai e aspetta che l'e-mail di reimpostazione della password ti venga consegnata).

— Yuliy
fonte

2

In Impostazioni account, c'è una sezione "Account collegati" in cui puoi fare in modo che Facebook acceda automaticamente se hai effettuato l'accesso a uno dei tuoi account abilitati per OpenID su altri siti. Forse hai dimenticato di aver collegato il tuo account Gmail?

— Charlie Melbye
fonte

No, sfortunatamente non è così. L'ho provato da solo rimuovendo tutti gli account collegati. L'evento sopra si verifica ancora.

— phwd

-1

Questo non è il caso. Come accennato, l'unico sito che può accedere ai cookie GMail è GMail. Ho appena testato questo metodo esatto e (non avendo mai autorizzato prima) il popup mi ha portato a una pagina del sottodominio accounts.google.com che mi chiedeva di autorizzare l'accesso per Facebook. Questo è esattamente ciò che mi aspetterei e spero accada.

Sembrerebbe che il PO abbia precedentemente autorizzato un'azione del genere, forse tramite Google Buzz o simili?

— opaco
fonte