Facebook detecta si has iniciado sesión en Gmail

71

Hoy estaba jugando con algo de seguridad web, y hubo una sorpresa cuando decidí probar el enlace Olvidar la contraseña en Facebook.

Elegí enviar el código de restablecimiento de contraseña a mi dirección de Gmail, y justo después de eso, Facebook aparece con otra ventana con un mensaje que dice que no tengo que preocuparme por mi código de restablecimiento de contraseña ya que ya he iniciado sesión en mi cuenta de Gmail.

Ya iniciado sesión

¿Cómo pueden hacer eso?

Supongo que tiene algo que ver con el protocolo OpenID, pero ¿no debería tener que permitirlo para que Facebook interactúe con mi cuenta de Gmail?

Resucitado
fuente
* ¿Puede confirmar que este comportamiento no inicia sesión si cierra sesión en gmail? * ¿Puedes publicar capturas de pantalla cuando inicias / cierras sesión en gmail? * ¿Puedes abrir el inspector de red Firebug / Chrome y publicar todo el tráfico durante este evento?
Achille
1
Recuerdo que hubo un truco usando tu foto de Gmail: si se puede mostrar, significa que estás conectado. Ver Google para más información.
seriousdev

Respuestas:

21

Los tokens OAuth para Google están en https://accounts.google.com/b/0/IssuedAuthSubTokens (es diferente de las cuentas vinculadas).

Cuando lo probé, Facebook creó una ventana emergente con un mensaje de OAuth la primera vez y solo abrió brevemente una ventana emergente en blanco en intentos posteriores. La desautorización de Facebook hace que las indicaciones aparezcan nuevamente.

antimateria15
fuente
3
Esto no es OAuth, es OpenID.
Yuliy
@Yuliy, bastante seguro de que son ambas cosas, ejecuté un programa que usa la API de Google Docs y recuerdo que la API usa juramento.
gatoatigrado
Sí, Google utiliza un protocolo híbrido oauth + openid (ver code.google.com/apis/accounts/docs/OpenID.html ).
El Yobo
Esto es correcto. Si ha vinculado su cuenta de Google con Facebook, pueden verificar su dirección de GMail (con el proceso inmediato de inicio de sesión de OpenID, sin ninguna interfaz de usuario). Después de eso no hay ningún punto de pedirle que verifique el cambio de contraseña a través del código de verificación enviado al correo electrónico, etc.
timdream
8

¿Ha mirado su cuenta de Google para ver si le dio permiso a Facebook para acceder a su información de Google?

microft
fuente
¿Dónde se puede ver eso?
Torre el
1
@Idigas - AFAICT Dashboard lo muestra ( google.com/dashboard ) - cerca de la parte superior está 'Sitios web autorizados para acceder a la cuenta' que me lleva a accounts.google.com/IssuedAuthSubTokens
James Manning
Si tiene una cuenta de Google+, vaya directamente aquí .
Alex
3

Utiliza OpenID. Si anteriormente ha utilizado OpenID para dar acceso a Facebook a su correo electrónico (como para importar sus contactos a Facebook), entonces lo intentará. Si no lo ha hecho, se le presentará un mensaje para que le dé acceso a Facebook (si dice que no, simplemente vaya y espere a que se le envíe el correo electrónico de restablecimiento de contraseña).

Yuliy
fuente
2

En Configuración de la cuenta, hay una sección de "Cuentas vinculadas" donde puede hacer que Facebook inicie sesión automáticamente si ha iniciado sesión en una de sus cuentas habilitadas para OpenID en otros sitios. ¿Quizás olvidaste que vinculaste tu cuenta de Gmail?

Charlie Melbye
fuente
No, lamentablemente no es así. Lo intenté yo mismo eliminando todas las cuentas vinculadas. El evento anterior aún sucede.
phwd
-1

Este no es el caso. Como se mencionó, el único sitio que puede acceder a las cookies de GMail es GMail. Acabo de probar este método exacto y (nunca antes había autorizado) la ventana emergente me llevó a una página en el subdominio accounts.google.com pidiéndome que autorice el acceso a Facebook. Esto es exactamente lo que esperaría y espero que suceda.

¿Parece que el OP ha autorizado previamente tal acción, tal vez a través de Google Buzz o similar?

Mate
fuente