Страницы

Поиск по вопросам

воскресенье, 1 декабря 2019 г.

Чем опасна авторизация на форумах через учетную запись социальных сетей?

#веб_программирование #авторизация #vkontakte_api #facebook_api 


Доброго времени суток!
Я не собираюсь заниматься разработкой %сабж%. Мне интересен сам принцип, который
заложен в авторизации пользователя на различных форумах (в том числе сомнительного
происхождения) при помощи новых "модных" возможностей, используя красивые кнопки, на
подобие: "ВКонтакте", "Фэйсбук" и прочих соц.сетей.

Как я понимаю, с точки зрения пользователя, я смогу зайти без авторизации на любой
форум при помощи этой кнопки, если на текущей машине, с текущего браузера, я до сих
пор авторизован в соответствующей сети?
Владелиц форума имеет какой либо доступ к той соц.сети, при помощи которой я авторизовался?
может ли он использовать мой аккаунт в соц.сети для своих каких либо корыстных целей?


PS: Будет полезно, если будут прямые ссылки на техническую документацию или описание
данной возможности авторизации к вашим ответам/комментариям.
Сильно умно не пишите, не силен я в web разработке и всяких там систем авторизаций...Мне
бы как-нибудь по-простому :-)

Очередной раз заранее вас благодарю за ваши ответы.


Ответы

Ответ 1


По-простому: форум доверяет ВКонтакту (кто же не знает ВК!). Приходит на форум юзер,
говорит, «Я Вася из ВК», форум сам напрямую бежит к ВК и уточняет, «ВК, это точно Вася?»,
ВК подтверждает, «да, это Вася из ВК». 
При этом про Васю ВК лишней инф-ии не раскрывает. Даже email не даёт - только имя-фамилию,
id и ссылку на картинку с физиономией. Другие соц. сети, или, например, Google, светят
email человека.
В таком варианте злоупотреблений быть не может.
Чтобы форум мог нагадить человеку, нужно дополнительно запросить каких-то прав, разрешений,
установить приложение и т.п. ВК не дурак, и об этом подробно напишет: "Приложение такое-то
запрашивает доступ к вашим ключам от квартиры и кошельку - дать?". От дурака особо
не защитить, конечно, но если люди голову не выключали, то злоупотреблений не произойдёт.


Ответ 2


Ну обычно схемы работают достаточно просто - форум запрашивает у сервера соц сети
форму авторизации (редирект с токеном), пользователь авторизуется у на сервере соц
сети, соц сеть отдаёт новый токен форуму. По этому токену он может спросить у сервера
соц сети авторизован ли пользователь, его имя ну и прочиее данные которые разрешены
пользователем соц сети. 
общая схема примерно такая. Возможности использовать в корыстных целях нету, только
если есть бреши у соц сети. На уровне апи такой возможности естественно не предусматривают.

Автор: на
Ярлыки: , , , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)