Facebook détecte si vous êtes connecté à Gmail

71

Aujourd'hui, je jouais avec un peu de sécurité Web et j'ai eu la surprise de décider de tester le lien Forget the Password sur Facebook.

J'ai choisi d'envoyer le code de réinitialisation du mot de passe à mon adresse Gmail et, juste après, Facebook apparaît avec une autre fenêtre avec un message indiquant que je n'ai pas à m'inquiéter de mon code de réinitialisation du mot de passe car je suis déjà connecté à mon compte Gmail.

Déjà connecté

Comment peuvent-ils faire ça?

Je suppose que cela a quelque chose à voir avec le protocole OpenID, mais ne devrais-je pas le laisser pour que Facebook puisse interagir avec mon compte Gmail?

Raisen
la source
* Pouvez-vous confirmer que ce comportement ne se connecte pas si vous vous déconnectez de gmail? * Pouvez-vous poster des captures d’écran lorsque vous êtes connecté / déconnecté de Gmail? * Pouvez-vous ouvrir l'inspecteur de réseau Firebug / Chrome et publier l'intégralité du trafic lors de cet événement?
Achille
1
Je me souviens que votre photo de Gmail comportait un truc: si elle peut être affichée, cela signifie que vous êtes connecté. Voir Google pour plus d'informations.
seriousdev

Réponses:

21

Les jetons OAuth pour Google sont disponibles à l' adresse https://accounts.google.com/b/0/IssuedAuthSubTokens (elle est différente des comptes liés).

Lorsque j'ai essayé, Facebook a créé une fenêtre contextuelle avec une invite OAuth pour la première fois et n'a ouvert que brièvement une fenêtre contextuelle vierge lors des tentatives suivantes. La désautorisation de Facebook fait à nouveau apparaître les invites.

antimatière15
la source
3
Ce n'est pas OAuth, c'est OpenID.
Yuliy
@Yuliy, je suis presque sûr que c'est les deux. J'ai exécuté un programme qui utilise l'API Google Docs et je me souviens que cette API utilise le serment.
Gatoatigrado
Oui, Google utilise un hybride oauth + openid procotol (voir code.google.com/apis/accounts/docs/OpenID.html ).
El Yobo
C'est correct. Si vous avez lié votre compte Google à Facebook, ils peuvent vérifier votre adresse GMail (avec le processus de connexion OpenID immédiat, sans interface utilisateur). Après cela, il n'y a plus de raison de vous demander de vérifier le changement de mot de passe via le code de vérification envoyé à un courrier électronique, etc.
timdream
8

Avez-vous consulté votre compte Google pour savoir si vous avez autorisé Facebook à accéder à vos informations Google?

microft
la source
Où peut-on voir ça?
Rook
1
@Idigas - AFAICT Dashboard vous le montre ( google.com/dashboard ). En haut, "Sites Web autorisés à accéder au compte", qui m'amène à accounts.google.com/IssuedAuthSubTokens
James Manning
Si vous avez un compte Google+, allez directement ici .
Alex
3

Il utilise OpenID. Si vous avez déjà utilisé OpenID pour donner à Facebook un accès à votre courrier électronique (par exemple, pour importer vos contacts sur Facebook), vous pourrez le faire. Si vous ne l'avez pas encore fait, vous serez invité à donner un accès à Facebook (si vous dites non, attendez simplement que l'e-mail de réinitialisation du mot de passe vous soit envoyé).

Yuliy
la source
2

Dans les paramètres du compte, une section "Comptes liés" permet à Facebook de se connecter automatiquement si vous êtes connecté à l'un de vos comptes compatibles OpenID sur d'autres sites. Peut-être avez-vous oublié de lier votre compte Gmail?

Charlie Melbye
la source
Non ce n'est pas ça malheureusement. Je l'ai essayé moi-même en supprimant tous les comptes liés. L'événement ci-dessus se produit toujours.
phwd
-1

Ce n'est pas le cas Comme mentionné, le seul site pouvant accéder aux cookies de GMail est GMail. Je viens de tester cette méthode exacte et (n'ayant jamais autorisé auparavant), le popup m'a amené à une page du sous-domaine accounts.google.com me demandant d'autoriser l'accès à Facebook. C'est exactement ce que j'attendrais et espérer qu'il se produise.

Il semblerait que le PO ait déjà autorisé une telle action, par exemple via Google Buzz ou similaire.

Mat
la source