Facebook wykrywa, czy jesteś zalogowany w Gmailu

71

Dzisiaj grałem z pewnymi zabezpieczeniami w sieci i zaskoczyło mnie, kiedy zdecydowałem się przetestować link Zapomnij hasło na Facebooku.

Zdecydowałem się wysłać kod resetowania hasła na mój adres Gmaila, a zaraz potem pojawia się Facebook z innym oknem z komunikatem, że nie muszę się martwić kodem resetowania hasła, ponieważ jestem już zalogowany na koncie Gmail.

już zalogowany

Jak mogą to zrobić?

Zgaduję, że ma to coś wspólnego z protokołem OpenID, ale czy nie powinienem na to pozwolić, aby Facebook mógł współpracować z moim kontem Gmail?

Raisen
źródło
* Czy możesz potwierdzić, że to zachowanie się nie loguje, jeśli wylogujesz się z Gmaila? * Czy możesz publikować zrzuty ekranu po zalogowaniu / wylogowaniu z Gmaila? * Czy możesz otworzyć inspektora sieci Firebug / Chrome i opublikować cały ruch podczas tego wydarzenia?
Achille,
1
Pamiętam, że była sztuczka z użyciem Twojego zdjęcia z Gmaila: jeśli można go wyświetlić, oznacza to, że jesteś zalogowany. Zobacz Google, aby uzyskać więcej informacji.
seriousdev

Odpowiedzi:

21

Tokeny OAuth dla Google są na https://accounts.google.com/b/0/IssuedAuthSubTokens (różni się od kont połączonych).

Gdy spróbowałem, Facebook po raz pierwszy utworzył wyskakujące okienko z monitem OAuth i tylko na krótko otworzył puste wyskakujące okienko przy kolejnych próbach. Usunięcie autoryzacji Facebooka powoduje, że monity pojawiają się ponownie.

antymateria 15
źródło
3
To nie jest OAuth, to OpenID.
Yuliy,
@Yuliy, całkiem pewne, że to jedno i drugie, uruchomiłem program, który korzysta z interfejsu API Dokumentów Google i pamiętam, że API używa przysięgi.
gatoatigrado
Tak, Google używa hybrydowego oauth + openid procotol (patrz code.google.com/apis/accounts/docs/OpenID.html ).
El Yobo,
To jest poprawne. Jeśli połączyłeś swoje konto Google z Facebookiem, mogą one zweryfikować Twój adres Gmail (z natychmiastowym procesem logowania OpenID, bez żadnego interfejsu użytkownika). Po tym nie ma sensu prosić Cię o weryfikację zmiany hasła za pomocą kodu weryfikacyjnego wysłanego na e-mail itp.
timdream
8

Czy spojrzałeś na swoje konto Google, aby sprawdzić, czy zezwoliłeś Facebookowi na dostęp do twoich informacji Google?

microft
źródło
Gdzie to widać?
Rook
1
@Idigas - AFAICT Dashboard pokazuje to ( google.com/dashboard ) - w górnej części znajdują się „Strony internetowe upoważnione do dostępu do konta”, które prowadzą do accounts.google.com/IssuedAuthSubTokens
James Manning
Jeśli masz konto Google+, przejdź bezpośrednio tutaj .
Alex,
3

Używa OpenID. Jeśli wcześniej używałeś OpenID, aby dać Facebookowi dostęp do twojej poczty e-mail (np. W celu zaimportowania kontaktów do Facebooka), spróbuje to zrobić. Jeśli tego nie zrobiłeś, pojawi się monit o udzielenie dostępu do Facebooka (jeśli powiesz „nie”, po prostu idź i poczekaj na wiadomość e-mail dotyczącą resetowania hasła).

Julia
źródło
2

W Ustawieniach konta znajduje się sekcja „Połączone konta”, w której Facebook może automatycznie logować się, jeśli jesteś zalogowany na jednym z kont obsługujących OpenID w innych witrynach. Może zapomniałeś, że połączyłeś swoje konto Gmail?

Charlie Melbye
źródło
Nie, niestety nie jest tak. Sam spróbowałem, usuwając wszystkie połączone konta. Powyższe wydarzenie nadal się zdarza.
phwd
-1

Tak nie jest. Jak wspomniano, jedyną witryną, która może uzyskać dostęp do plików cookie GMail, jest Gmail. Właśnie przetestowałem tę dokładną metodę i (nigdy wcześniej nie autoryzowałem) okienko poprowadziło mnie do strony w subdomenie accounts.google.com z prośbą o autoryzację dostępu do Facebooka. Właśnie tego bym się spodziewał i mam nadzieję się wydarzyć.

Wygląda na to, że OP wcześniej autoryzował takie działanie, może przez Google Buzz lub podobny?

Matt
źródło