ユーザーが facebook 、 google 、 twitter などの別のサイト ドメインにログインしているかどうかを確認する方法があるかどうか疑問に思っていました。
これは合法で可能ですか?
ありがとう
APIを使用せずに
質問する
99 次
4 に答える
1
質問は非常に一般的です。とにかく、短い答えは(明らかに)いいえです。
いいえ、Cookieは別のドメイン(他のサーバー)に送信されないためです。これは、ユーザーがMy-Siteを閲覧している場合、(My-Siteの)サーバー側からユーザーが別のドメインにログインしているかどうかを知ることができないことを意味します。クッキーが届かないので、サイト。
次に、クライアント側に移動します。(ブラウザ)。他のサイトから届いた情報(Cookieなど)を送信しようとする「悪意のあるJavascript」をマイサイトからダウンロードできます。
この悪意のあるJavascriptが情報を盗もうとする場合、「同一生成元ポリシー」(同じドメイン、レイヤープロトコル、およびポート)に直面する必要があります。言い換えると、Javascriptからは、別の「オリジン」(前に定義した)からの情報/コードにアクセスできません。
これは、多かれ少なかれ理論であり、セキュリティホールが存在する可能性があります。
于 2012-09-29T12:22:16.153 に答える
1
おそらく、サイトが提供する API を使用する必要があります。
- フェイスブック: http://developers.facebook.com/
- あなたはグーグルで何を意味しているのかはっきりしていませんでしたが、ソーシャルネットワークであるあなたの他のものに関連しているので、グーグル+を意味していると思います: - https://developers.google.com/+/api/
- ツイッター:dev.twitter.com
編集: もう少し詳しく読んで、ユーザーも同意していることを確認する必要があります。
編集:あなたはAPIの使用に反対しているように見えるので、あなたがそうする理由が少しもわからないので、セキュリティのために、APIを使用しないでそれを行う簡単な方法は正確にはありません. 少なくとも、信頼できる方法はありません。
于 2012-09-29T12:08:55.237 に答える
1
確認する方法はいくつかあります。ハックされているものもあれば、チェックされるはずの方法もあります。
たとえば Facebook では、API を使用して次のメソッドを呼び出すことができます: FB.getLoginStatus https://developers.facebook.com/docs/reference/javascript/FB.getLoginStatus/
よりハッカーな代替手段 (推奨されませんが) は、スクリプト タグで Web サイトを読み込み、javascript でエラーをキャッチすることです。多くの場合、エラーの具体的な詳細は異なります。これはお勧めしません
それは合法ですか?ここは法的助言を求めるのに最適な場所ではありませんが、いわゆる Cookie 法を採用している国では (同意なしに) 合法ではないことは確かです。
于 2012-09-29T12:09:03.020 に答える
1
はい。ログイン ページまたはその他のログイン専用のアクセス可能なページがブラウザの履歴にあるかどうかを確認できます。
Forbes: History Sniffing: YouPorn がどのようにあなたがアクセスした他のポルノ サイトをチェックし、広告ネットワークがデータの品質をテストするか
これは、ブラウザーが既にクリックしたリンクの色を変更することに基づいています。このサイトのスクリプトは Web のプライバシー リークを悪用して、他のポルノ サイトのホストへのリンクに「紫」の色が割り当てられていることをブラウザが明らかにするかどうかをすばやくチェックして確認します。これは、以前にクリックしたことを意味します。
Mozilla は CSS のこの「機能」をブロックしました。許可なくユーザーをストーキングしないでください。
于 2012-12-28T18:51:33.377 に答える