Facebook phát hiện nếu bạn đăng nhập vào Gmail

71

Hôm nay tôi đang chơi với một số bảo mật web và có một bất ngờ khi tôi quyết định kiểm tra liên kết Quên liên kết Mật khẩu trên Facebook.

Tôi đã chọn gửi mã đặt lại mật khẩu đến địa chỉ Gmail của mình và ngay sau đó Facebook bật lên với một cửa sổ khác với thông báo nói rằng tôi không phải lo lắng về mã đặt lại mật khẩu của mình vì tôi đã đăng nhập vào tài khoản Gmail của mình.

đã đăng nhập

Làm thế nào họ có thể làm điều đó?

Tôi đoán rằng nó có liên quan đến giao thức OpenID, nhưng tôi không nên cho phép nó để Facebook tương tác với tài khoản Gmail của tôi?

— Nho khô
nguồn

* Bạn có thể xác nhận rằng hành vi này không đăng nhập nếu bạn đăng xuất khỏi gmail không? * Bạn có thể đăng ảnh chụp màn hình khi đăng nhập / ra khỏi gmail không? * Bạn có thể mở trình kiểm tra mạng Fireorms / Chrome và đăng toàn bộ lưu lượng trong sự kiện này không?

— Achille

1

Tôi nhớ có một mẹo sử dụng pic Gmail của bạn: nếu nó có thể được hiển thị, điều đó có nghĩa là bạn đã đăng nhập. Xem Google để biết thêm.

— Severdev

21

Mã thông báo OAuth cho Google có tại https://accounts.google.com/b/0/IssuedAuthSubTokens (khác với Tài khoản được liên kết).

Khi tôi dùng thử, Facebook đã tạo một cửa sổ bật lên với lời nhắc OAuth lần đầu tiên và chỉ mở một thời gian ngắn một cửa sổ bật lên trống trong các lần thử tiếp theo. Không cho phép Facebook làm cho lời nhắc xuất hiện lại.

— phản vật chất15
nguồn

3

Đây không phải là OAuth, nó là OpenID.

— Yuliy

@Yuliy, khá chắc chắn cả hai, tôi đã chạy một chương trình sử dụng Google Docs API và nhớ rằng API sử dụng lời thề.

— gatoatigrado

Có, google sử dụng hỗn hợp oauth + openid Procotol (xem code.google.com/apis/accounts/docs/OpenID.html ).

— El Yobo

Chính xác. Nếu bạn đã liên kết tài khoản Google của mình với Facebook, họ có thể xác minh địa chỉ Gmail của bạn (với quy trình đăng nhập OpenID ngay lập tức, không có bất kỳ giao diện người dùng nào). Sau đó, không có điểm nào để yêu cầu bạn xác minh thay đổi mật khẩu thông qua mã xác minh được gửi đến e-mail, v.v.

— timdream

8

Bạn đã xem tài khoản Google của mình để xem bạn có cho phép Facebook truy cập thông tin Google của bạn không?

— microft
nguồn

Người ta có thể thấy điều đó ở đâu?

— Rook

1

@Idigas - Bảng điều khiển AFAICT hiển thị nó ( google.com/dashboard ) - gần đầu trang là 'Trang web được phép truy cập vào tài khoản' đưa tôi đến tài

— James Manning

Nếu bạn có tài khoản Google+, hãy truy cập trực tiếp tại đây .

— Alex

3

Nó sử dụng OpenID. Nếu trước đây bạn đã sử dụng OpenID để cấp cho Facebook quyền truy cập vào e-mail của bạn (chẳng hạn như để nhập danh bạ của bạn vào Facebook), thì nó sẽ thử và làm điều đó. Nếu bạn chưa làm như vậy, thì bạn sẽ được nhắc nhở cấp quyền truy cập Facebook (nếu bạn nói không, sau đó hãy đi và thực sự đợi email đặt lại mật khẩu để gửi cho bạn).

— Yuliy
nguồn

2

Trong Cài đặt tài khoản, có phần "Tài khoản được liên kết" nơi bạn có thể tự động đăng nhập Facebook nếu bạn đăng nhập vào một trong những tài khoản hỗ trợ OpenID của bạn trên các trang web khác. Có lẽ bạn quên rằng bạn đã liên kết tài khoản Gmail của mình?

— Charlie Melbye
nguồn

Không, thật không may. Tôi đã cố gắng tự xóa tất cả các tài khoản được liên kết. Sự kiện trên vẫn xảy ra.

— phwd

-1

Đây không phải là trường hợp. Như đã đề cập, trang web duy nhất có thể truy cập cookie GMail là GMail. Tôi vừa thử nghiệm phương pháp chính xác này và (chưa bao giờ được ủy quyền trước đó), cửa sổ bật lên đưa tôi đến một trang trên tên miền phụ của tài khoản.google.com yêu cầu tôi cho phép truy cập Facebook. Đây chính xác là những gì tôi mong đợi và hy vọng sẽ xảy ra.

Có vẻ như OP trước đây đã cho phép một hành động như vậy, có thể thông qua Google Buzz hoặc tương tự?

— Matt
nguồn