Hari ini saya bermain dengan beberapa keamanan web, dan ada kejutan ketika saya memutuskan untuk menguji tautan Lupakan Kata Sandi di Facebook.
Saya memilih untuk mengirim kode setel ulang kata sandi ke alamat Gmail saya, dan segera setelah itu Facebook muncul dengan jendela lain dengan pesan yang mengatakan bahwa saya tidak perlu khawatir tentang kode setel ulang kata sandi saya karena saya sudah masuk ke akun Gmail saya.
Bagaimana mereka bisa melakukan itu?
Saya menduga itu ada hubungannya dengan protokol OpenID, tetapi tidakkah saya harus mengizinkannya agar Facebook berinteraksi dengan akun Gmail saya?
Jawaban:
Token OAuth untuk Google ada di https://accounts.google.com/b/0/IssuedAuthSubTokens (berbeda dengan Akun Tertaut).
Ketika saya mencobanya, Facebook membuat popup dengan prompt OAuth pertama kali dan hanya secara singkat membuka popup kosong pada upaya berikutnya. De-otorisasi Facebook membuat permintaan muncul lagi.
sumber
Sudahkah Anda melihat akun Google Anda untuk melihat apakah Anda memberi izin Facebook untuk mengakses informasi Google Anda?
sumber
Ini menggunakan OpenID. Jika sebelumnya Anda pernah menggunakan OpenID untuk memberikan akses Facebook ke email Anda (seperti mengimpor kontak Anda ke Facebook), maka itu akan mencoba dan melakukannya. Jika Anda belum melakukannya, maka Anda akan diberikan prompt untuk memberikan akses Facebook (jika Anda mengatakan tidak, maka pergi saja dan benar-benar menunggu email pengaturan ulang kata sandi untuk dikirimkan kepada Anda).
sumber
Di Pengaturan Akun, ada bagian "Akun Tertaut" di mana Anda dapat membuat Facebook masuk secara otomatis jika Anda masuk ke salah satu akun yang mendukung OpenID di situs lain. Mungkin Anda lupa bahwa Anda menautkan akun Gmail Anda?
sumber
Ini bukan masalahnya. Seperti disebutkan, satu-satunya situs yang dapat mengakses cookie GMail adalah GMail. Saya baru saja menguji metode yang tepat ini dan (tidak pernah diotorisasi sebelumnya) popup membawa saya ke halaman di sub-domain accounts.google.com meminta saya untuk mengotorisasi akses untuk Facebook. Inilah yang saya harapkan dan harapkan terjadi.
Tampaknya OP sebelumnya telah mengesahkan tindakan semacam itu, mungkin melalui Google Buzz atau serupa?
sumber