Facebook erkennt, ob Sie in Google Mail angemeldet sind

71

Heute habe ich mit etwas Web-Sicherheit gespielt und es gab eine Überraschung, als ich mich entschied, den Link Passwort vergessen auf Facebook zu testen .

Ich habe beschlossen, den Code zum Zurücksetzen des Passworts an meine Google Mail-Adresse zu senden. Anschließend wird Facebook in einem weiteren Fenster mit der Meldung angezeigt, dass ich mich nicht um meinen Code zum Zurücksetzen des Passworts kümmern muss, da ich bereits in meinem Google Mail-Konto angemeldet bin.

Bereits angemeldet

Wie können sie das machen?

Ich vermute, dass es etwas mit dem OpenID-Protokoll zu tun hat, aber sollte ich es nicht zulassen müssen, damit Facebook mit meinem Google Mail-Konto interagieren kann?

gmail facebook privacy security Raisen
quelle
* Können Sie bestätigen, dass sich dieses Verhalten nicht anmeldet, wenn Sie sich von Google Mail abmelden? * Können Sie Screenshots veröffentlichen, wenn Sie bei Google Mail angemeldet / abgemeldet sind? * Können Sie den Firebug / Chrome-Netzwerkinspektor öffnen und den gesamten Datenverkehr während dieses Ereignisses veröffentlichen?
Achille
1
Ich erinnere mich, dass es einen Trick mit Ihrem Google Mail-Bild gab: Wenn er angezeigt werden kann, bedeutet das, dass Sie angemeldet sind. Weitere Informationen finden Sie bei Google.
seriousdev

Antworten:

21

Die OAuth-Token für Google befinden sich unter https://accounts.google.com/b/0/IssuedAuthSubTokens (unterscheidet sich von verknüpften Konten).

Als ich es versuchte, erstellte Facebook zum ersten Mal ein Popup mit einer OAuth-Eingabeaufforderung und öffnete bei nachfolgenden Versuchen nur kurz ein leeres Popup. Wenn Sie die Autorisierung für Facebook aufheben, werden die Eingabeaufforderungen erneut angezeigt.

Antimaterie15
quelle
3
Dies ist nicht OAuth, es ist OpenID.
Yuliy
@Yuliy, ich bin mir ziemlich sicher, dass es beides ist. Ich habe ein Programm ausgeführt, das die Google Docs-API verwendet, und erinnere mich, dass die API Eid verwendet.
gatoatigrado
Ja, Google verwendet ein hybrides oauth + openid-Protokoll (siehe code.google.com/apis/accounts/docs/OpenID.html ).
El Yobo
Das ist richtig. Wenn Sie Ihr Google-Konto mit Facebook verknüpft haben, können diese Ihre GMail-Adresse überprüfen (bei sofortiger OpenID-Anmeldung ohne Benutzeroberfläche). Danach besteht kein
Grund
8

Haben Sie in Ihrem Google-Konto nachgesehen, ob Sie Facebook die Berechtigung zum Zugriff auf Ihre Google-Informationen erteilt haben?

microft
quelle
Wo kann man das sehen?
Rook
1
@Idigas - AFAICT Dashboard zeigt es an ( google.com/dashboard ). Ganz oben befindet sich "Websites, die zum Zugriff auf das Konto berechtigt sind". Dies führt mich zu accounts.google.com/IssuedAuthSubTokens
James Manning,
Wenn Sie ein Google+ Konto haben, gehen Sie direkt hier .
Alex
3

Es verwendet OpenID. Wenn Sie zuvor OpenID verwendet haben, um Facebook Zugriff auf Ihre E-Mail zu gewähren (z. B. um Ihre Kontakte in Facebook zu importieren), wird dies versucht. Wenn Sie dies nicht getan haben, werden Sie aufgefordert, Facebook Zugriff zu gewähren (wenn Sie Nein sagen, warten Sie einfach, bis die E-Mail zum Zurücksetzen des Passworts an Sie gesendet wird).

Yuliy
quelle
2

In den Kontoeinstellungen gibt es einen Bereich "Verknüpfte Konten", in dem sich Facebook automatisch anmelden kann, wenn Sie bei einem Ihrer OpenID-aktivierten Konten auf anderen Websites angemeldet sind. Vielleicht haben Sie vergessen, dass Sie Ihr Google Mail-Konto verknüpft haben?

Charlie Melbye
quelle
Nein, das ist es leider nicht. Ich habe versucht, alle verknüpften Konten zu entfernen. Das obige Ereignis tritt immer noch auf.
phwd
-1

Das ist nicht der Fall. Wie bereits erwähnt, ist GMail die einzige Website, die auf GMail-Cookies zugreifen kann. Ich habe gerade genau diese Methode getestet und (noch nie zuvor autorisiert) das Popup-Fenster hat mich zu einer Seite in der Sub-Domain accounts.google.com geführt, auf der ich gebeten wurde, den Zugriff für Facebook zu autorisieren. Das ist genau das, was ich erwarten und hoffen würde.

Es scheint, dass das OP zuvor eine solche Aktion genehmigt hat, vielleicht über Google Buzz oder Ähnliches?

Matt
quelle