O Facebook detecta se você está logado no Gmail

71

Hoje eu estava brincando com segurança na Web, e houve uma surpresa quando decidi testar o link Esquecer a senha no Facebook.

Optei por enviar o código de redefinição de senha para o meu endereço do Gmail e, logo em seguida, o Facebook aparece com outra janela com uma mensagem informando que não preciso me preocupar com o código de redefinição de senha, pois já estou logado na minha conta do Gmail.

já logado

Como eles podem fazer isso?

Suponho que ele tenha algo a ver com o protocolo OpenID, mas não devo permitir que o Facebook interaja com minha conta do Gmail?

Raisen
fonte
* Você pode confirmar que esse comportamento não faz login se você sair do gmail? * Você pode postar capturas de tela quando estiver logado / logado no gmail? * Você pode abrir o inspetor de rede Firebug / Chrome e postar todo o tráfego durante este evento?
Achille
11
Lembro que houve um truque ao usar sua foto do Gmail: se ela pode ser exibida, significa que você está logado. Veja o Google para mais informações.
seriousdev

Respostas:

21

Os tokens OAuth para o Google estão em https://accounts.google.com/b/0/IssuedAuthSubTokens (é diferente das contas vinculadas).

Quando tentei, o Facebook criou um pop-up com um prompt do OAuth pela primeira vez e abriu brevemente um pop-up em branco nas tentativas subseqüentes. A desautorização do Facebook faz com que os avisos apareçam novamente.

antimatter15
fonte
3
Este não é OAuth, é OpenID.
Yuliy
@ Yuliy, com certeza os dois, executei um programa que usa a API do Google Docs e lembre-se de que a API usa juramento.
gatoatigrado 6/11/11
Sim, o Google usa um híbrido oauth + openid procotol (consulte code.google.com/apis/accounts/docs/OpenID.html ).
El Yobo
Isto está correto. Se você vinculou sua conta do Google ao Facebook, eles podem verificar seu endereço do GMail (com processo de login imediato no OpenID, sem qualquer interface do usuário). Depois disso, não há nenhum ponto de pedir-lhe para verificar a alteração de senha por meio de código de verificação enviado para e-mail, etc.
timdream
8

Você já olhou sua conta do Google para ver se deu permissão ao Facebook para acessar suas informações do Google?

microft
fonte
Onde alguém pode ver isso?
Rook
11
@ Idigas - AFAICT Painel mostra que ( google.com/dashboard ) - perto do topo é 'sites autorizados para acessar a conta', que me leva a accounts.google.com/IssuedAuthSubTokens
James Manning
Se você possui uma conta do Google+, acesse diretamente aqui .
Alex
3

Ele usa o OpenID. Se você já usou o OpenID para dar acesso ao Facebook ao seu e-mail (como importar seus contatos para o Facebook), ele tentará fazer isso. Se você não tiver feito isso, será solicitado a fornecer acesso ao Facebook (se você recusar, basta aguardar o email de redefinição de senha ser entregue a você).

Yuliy
fonte
2

Nas Configurações da conta, há uma seção "Contas vinculadas", na qual você pode fazer com que o Facebook efetue login automaticamente se estiver conectado a uma das suas contas ativadas para OpenID em outros sites. Talvez você tenha esquecido que vinculou sua conta do Gmail?

Charlie Melbye
fonte
Não, infelizmente não é assim. Eu mesmo tentei remover todas as contas vinculadas. O evento acima ainda acontece.
phwd
-1

Este não é o caso. Como mencionado, o único site que pode acessar os cookies do GMail é o GMail. Acabei de testar esse método exato e (nunca antes autorizado) o pop-up me levou a uma página no subdomínio accounts.google.com, solicitando a autorização do acesso ao Facebook. Isso é exatamente o que eu esperaria e espero que aconteça.

Parece que o OP autorizou uma ação anteriormente, talvez por meio do Google Buzz ou similar?

Matt
fonte