Facebook mendeteksi jika Anda login di Gmail

71

Hari ini saya bermain dengan beberapa keamanan web, dan ada kejutan ketika saya memutuskan untuk menguji tautan Lupakan Kata Sandi di Facebook.

Saya memilih untuk mengirim kode setel ulang kata sandi ke alamat Gmail saya, dan segera setelah itu Facebook muncul dengan jendela lain dengan pesan yang mengatakan bahwa saya tidak perlu khawatir tentang kode setel ulang kata sandi saya karena saya sudah masuk ke akun Gmail saya.

Telah masuk

Bagaimana mereka bisa melakukan itu?

Saya menduga itu ada hubungannya dengan protokol OpenID, tetapi tidakkah saya harus mengizinkannya agar Facebook berinteraksi dengan akun Gmail saya?

gmail facebook privacy security Raisen
sumber
* Dapatkah Anda mengonfirmasi bahwa perilaku ini tidak masuk jika Anda keluar dari gmail? * Bisakah Anda memposting tangkapan layar saat masuk / keluar gmail? * Dapatkah Anda membuka inspektur jaringan Firebug / Chrome dan memposting seluruh lalu lintas selama acara ini?
Achille
1
Saya ingat ada trik menggunakan pic Gmail Anda: jika bisa ditampilkan, itu berarti Anda login. Lihat Google untuk info lebih lanjut.
seriousdev

Jawaban:

21

Token OAuth untuk Google ada di https://accounts.google.com/b/0/IssuedAuthSubTokens (berbeda dengan Akun Tertaut).

Ketika saya mencobanya, Facebook membuat popup dengan prompt OAuth pertama kali dan hanya secara singkat membuka popup kosong pada upaya berikutnya. De-otorisasi Facebook membuat permintaan muncul lagi.

antimateri15
sumber
3
Ini bukan OAuth, ini OpenID.
Yuliy
@ Yuliy, cukup yakin keduanya, saya menjalankan program yang menggunakan Google Documents API, dan ingat bahwa API menggunakan sumpah.
gatoatigrado
Ya, Google menggunakan hybrid oauth + procid openid (lihat code.google.com/apis/accounts/docs/OpenID.html ).
El Yobo
Ini benar. Jika Anda telah menautkan akun Google Anda dengan Facebook, mereka dapat memverifikasi alamat GMail Anda (dengan proses masuk OpenID langsung, tanpa UI apa pun). Setelah itu tidak ada gunanya meminta Anda untuk memverifikasi perubahan kata sandi melalui kode verifikasi yang dikirim ke email, dll.
timdream
8

Sudahkah Anda melihat akun Google Anda untuk melihat apakah Anda memberi izin Facebook untuk mengakses informasi Google Anda?

microft
sumber
Di mana orang bisa melihatnya?
Benteng
1
@Idigas - Dasbor AFAICT menunjukkannya ( google.com/dashboard ) - di dekat bagian atas adalah 'Situs web yang diotorisasi untuk mengakses akun' yang membawa saya ke akun.google.com/IssuedAuthSubTokens
James Manning
Jika Anda memiliki akun Google+, langsung ke sini .
Alex
3

Ini menggunakan OpenID. Jika sebelumnya Anda pernah menggunakan OpenID untuk memberikan akses Facebook ke email Anda (seperti mengimpor kontak Anda ke Facebook), maka itu akan mencoba dan melakukannya. Jika Anda belum melakukannya, maka Anda akan diberikan prompt untuk memberikan akses Facebook (jika Anda mengatakan tidak, maka pergi saja dan benar-benar menunggu email pengaturan ulang kata sandi untuk dikirimkan kepada Anda).

Yuliy
sumber
2

Di Pengaturan Akun, ada bagian "Akun Tertaut" di mana Anda dapat membuat Facebook masuk secara otomatis jika Anda masuk ke salah satu akun yang mendukung OpenID di situs lain. Mungkin Anda lupa bahwa Anda menautkan akun Gmail Anda?

Charlie Melbye
sumber
Sayangnya bukan itu. Saya mencoba sendiri menghapus semua akun yang ditautkan. Peristiwa di atas masih terjadi.
phwd
-1

Ini bukan masalahnya. Seperti disebutkan, satu-satunya situs yang dapat mengakses cookie GMail adalah GMail. Saya baru saja menguji metode yang tepat ini dan (tidak pernah diotorisasi sebelumnya) popup membawa saya ke halaman di sub-domain accounts.google.com meminta saya untuk mengotorisasi akses untuk Facebook. Inilah yang saya harapkan dan harapkan terjadi.

Tampaknya OP sebelumnya telah mengesahkan tindakan semacam itu, mungkin melalui Google Buzz atau serupa?

Mat
sumber