Facebook определяет, вошли ли вы в Gmail

71

Сегодня я играл с некоторой веб-безопасностью, и было неожиданно, когда я решил проверить ссылку « Забыли пароль» на Facebook.

Я решил отправить код сброса пароля на мой адрес Gmail, и сразу после этого в Facebook появляется другое окно с сообщением о том, что мне не нужно беспокоиться о коде сброса пароля, так как я уже вошел в свою учетную запись Gmail.

Уже вошли в систему

Как они могут это сделать?

Я предполагаю, что это как-то связано с протоколом OpenID, но разве я не должен позволять это для того, чтобы Facebook взаимодействовал с моей учетной записью Gmail?

Raisen
источник
* Можете ли вы подтвердить, что это поведение не входит в систему, если вы выходите из Gmail? * Можете ли вы публиковать скриншоты при входе / выходе из Gmail? * Можете ли вы открыть Firebug / Chrome сетевой инспектор и опубликовать весь трафик во время этого события?
Ахилл
1
Я помню, что с вашей картинкой Gmail был трюк: если он может отображаться, значит, вы вошли в систему. Смотрите Google для получения дополнительной информации.
Серьезный

Ответы:

21

Токены OAuth для Google находятся по адресу https://accounts.google.com/b/0/IssuedAuthSubTokens (он отличается от связанных аккаунтов).

Когда я попробовал это, Facebook впервые создал всплывающее окно с подсказкой OAuth и лишь на короткое время открыл пустое всплывающее окно при последующих попытках. При деавторизации Facebook запросы появляются снова.

antimatter15
источник
3
Это не OAuth, это OpenID.
Юлий
@Yuliy, я уверен, что и то и другое, я запустил программу, которая использует API Google Docs, и помню, что API использует присягу.
gatoatigrado
Да, Google использует гибридный протокол oauth + openid (см. Code.google.com/apis/accounts/docs/OpenID.html ).
Эль Йобо
Это верно. Если вы связали свою учетную запись Google с Facebook, они могут проверить ваш адрес GMail (с немедленным входом в OpenID без любого пользовательского интерфейса). После этого нет смысла просить вас подтвердить изменение пароля с помощью кода подтверждения, отправленного по электронной почте и т. Д.
timdream
8

Посмотрели ли вы свою учетную запись Google, чтобы узнать, дали ли вы разрешение Facebook на доступ к вашей информации Google?

microft
источник
Где это можно увидеть?
Ладья
1
@Idigas - AFAICT Dashboard показывает это ( google.com/dashboard ) - в верхней части страницы «Веб-сайты, авторизованные для доступа к учетной записи», что приводит меня к account.google.com/IssuedAuthSubTokens
Джеймс Мэннинг,
Если у вас есть аккаунт Google+, перейдите прямо сюда .
Алекс
3

Он использует OpenID. Если вы ранее использовали OpenID для предоставления Facebook доступа к вашей электронной почте (например, для импорта ваших контактов в Facebook), он попытается это сделать. Если вы этого не сделали, то вам будет предложено предоставить доступ к Facebook (если вы скажете «нет», просто идите и дождитесь, пока вам не доставят письмо для сброса пароля).

Yuliy
источник
2

В разделе «Настройки учетной записи» есть раздел «Связанные учетные записи», в котором вы можете настроить автоматический вход Facebook, если вы вошли в одну из своих учетных записей с поддержкой OpenID на других сайтах. Может быть, вы забыли, что связали свою учетную запись Gmail?

Чарли Мелби
источник
Нет, это не так, к сожалению. Я сам попробовал удалить все связанные аккаунты. Событие выше все еще происходит.
phwd
-1

Это не тот случай. Как уже упоминалось, единственный сайт, который может получить доступ к файлам cookie GMail, - это GMail. Я только что проверил этот точный метод, и (никогда ранее не авторизуясь) всплывающее окно привело меня на страницу в поддомене account.google.com с просьбой разрешить доступ для Facebook. Это именно то, чего я ожидал и надеюсь на будущее.

Похоже, что ОП ранее разрешил такое действие, возможно, через Google Buzz или подобное?

Matt
источник