Jak funguje funkce "Přihlásit se pomocí Google, Facebook apod."?
K řadě služeb na internetu se mohu přihlásit pomocí účtu Google, Facebook, Twitter apod. Nakolik je toto bezpečné?
Tak například: Používám v PC jako domovskou stránku "Digg reader". No a k němu se mohu přihlásit buď pomocí Facebook, Twitter nebo Google. Vybral jsem přihlásit pomocí Google a vše funguje. Ale jak vlastně ono "přihlásit pomocí Google (Facebook...)" funguje? Nemůže se stát, že provozovatel, v tomto případě Digg, získá přihlašovací údaje do mého Google účtu?
Google:
https://myaccount.google.com/permissions
Tam presne vidis jake ma ta ktera aplikace opravneni. Samozrejme poustet tam cizi aplikace je riziko. Ja tam mam 9 aplikaci, vsem verim.
Přihlašovací údaje rozhodně nezíská. V zásadě jde o ověření, že člověku patří daná mailová adresa. Jen to ověření neprovádí samotná stránka, ale např. FB. A případně i předá další informace o člověku, pokud to dovolí.
OK, tak zarazilo mě, že když vyberu přihlásit pomocí Google (třeba u Digg, který bych považoval za důvěryhodný), tak následně vyplňuji moje přihlašovací údaje Google...
Kdybych měl extra přihlášení do každé služby, tak by mi to přišlo bezpečnější. Ale jestli to vývojáři dělají z toho důvodu, aby člověk neměl desítky účtů a hesel? Nebo nevím proč...
Nebezpečné je to v tom, že budou vědět, že se přihlašuješ na digg reader ; pokud se přes daný účet takto ještě připojuješ jinam, můžou zjistit, že oba účty patří tobě.
jedine co na tom moze byt nebezpecne je, ze ak sa niekto dostane na tvoj google/facebook ucet, tak ma pristup aj k dalsim veciam. Toto sa da ale velmi dobre eliminovat dvojfaktorovym prihlasovanim.
Jj, dvoufázové ověření mám zapnuté.
Jen jsem se obával, aby to nešlo zneužít a nezafungovalo to obráceně a někomu jsem tím nepovolil přístup do mého Google či Facebook účtu.
Ale to se klidne muze stat. Proc nejdes na tu stranku, kterou jsem ti odkazal, tam presne vidis k cemu ma co pristup.
Možné je cokoliv. Ale zrovna tohle je dost nepravděpodobné.
Proc to je nepravdepodobne?
Naopak je to pravdepodobne, ta aplikace (web) ziskava nejaky typ pristupu a ten muze zneuzit.
Nepravdepodobne muze byt leda to, proc by to duveryhodna aplikace (web) delal, ale brat to jako samozrejmost?
Nezískává žádný přístup. Dostane pouze odpověď na otázku, jestli danému člověku patří určitý email.
To zalezi podle toho, jaka opravneni si aplikace (web) vyzada, ma to napsane kdyz ji ty prava udeluje a ma to napsane na tom odkaze. Kazdopadne je treba dobre vazit komu a jaky typ pristupu davam.
U Android aplikací jsou požadovaná oprávnění při instalaci vidět, to ano. Ale při "přihlášení pomocí účtu Google" na webu jsem žádná požadovaná oprávnění nezaregistroval. Když kouknu na odkaz co jsi posílal, tak až dodatečně např. u Digg vidím oprávnění "Zobrazení vaší e-mailové adresy, Zobrazení základních informací o profilu".
Stránku znám, tam jsem byl. Jsou tam většinou apps, které tam z logiky věci být musí, např. email. klient Thunderbird, dále různé android aplikace jako AquaMail, aCalendar atd. Tyto aplikace přístup mít musí, aby mohli stáhnout poštu, spravovat kalendář...
Ale proč se mám Google či Facebook účtem přihlašovat k podobným službám jako Digg?
Proc ma spousta webu udelany komentare k clankum pomoci facebooku?
To je jednoduche, webu odpada spousta prace navic, protoze si jen poridi modul na to co chteji mit a vlozi to do svych sluzeb. Z hlediska uzivatele to zase prinasi pohodli, protoze se nemusi separatne prihlasovat.
Je to podobné jako platební brána pro platbu kartou. Společnosti jako FB, Google poskytují API, pomocí kterého to může ten čelověk implemetovat. Přihlášení pak funguje ve skutečnosti ne přes stránky, na které se přihlašuješ - ty pak nedostanou tvé heslo, ale přes FB, Google a ty pak vrátí jen, jestli bylo přihlášení úspěšné nebo ne.
Otázkou je, zda své přihlašovací údaje sdělíš jakékoliv stránce, protože vzhled FB nebo Google může být jen vzhled.
Díky. Tenhle princip fungování už si dovedu představit.
Edit: Jsem zkoušel něco k tomuto najít...