web-dev-qa-db-fra.com

Comment medium.com connaît-il mon compte Google?

Je suis allé à un article sur medium.com plus tôt dans la journée, et au lieu de la popup ennuyeuse en plein écran qu'ils montrent généralement aux visiteurs qui reviennent, j'ai vu ceci dans le coin supérieur droit:

Google popup

Là, sur la page moyenne, ils ont mon nom et mon adresse e-mail Google! Je n'ai pas de compte sur Medium, et je n'ai jamais rien fait d'autre que lire différents articles auxquels j'ai reçu des liens directs.

Comment le média peut-il afficher cette fenêtre contextuelle? Je n'ai aucun souvenir de leur dire qui je suis, et avec toutes les discussions sur les protections d'origine croisée, cela ne semble pas possible.

Je suppose que c'est probablement une fonctionnalité contextuelle fournie par Google, mais cela semble pouvoir être facilement utilisé à mauvais escient par n'importe quel site pour voler mon nom et mon e-mail. J'utilise Firefox, donc ça ne peut pas être fou chrome feature.

account-securitycrossdomain
10
Alice Ryhl

Les développeurs Web peuvent intégrer Google Sign-In à leur site Web .

Google Sign-In gère le OAuth 2.0 flux et cycle de vie des jetons, simplifiant votre intégration avec les API Google. Un utilisateur a toujours la possibilité de révoquer l'accès à une application à tout moment.

Les sites Web peuvent accéder à des informations telles que votre nom ou votre adresse e-mail lorsque vous vous connectez. Il existe de nombreuses façons de personnaliser le bouton de connexion ou la fenêtre contextuelle, ce qui explique parfois pourquoi il semble intégré à la page, alors qu'il est en fait servi par Google via HTTPS. C'est également la raison pour laquelle le site Web peut afficher votre nom, car il est en fait servi par l'API Google. Dans cet exemple spécifique, un iframe est utilisé qui empêche le partage d'informations avec Medium en raison de la même politique d'origine.

8
Kevin Voorn

Ils le font via un iframe avec l'une des fonctionnalités de Google version bêta qui est actuellement fermée. Vous pouvez voir l'iframe dans la capture d'écran suivante du site Web de Medium.

Screenshot of Medium's website and Google iframe

Cependant, cela ne signifie pas que Medium pourra accéder à vos informations utilisateur. Le contenu à l'intérieur de l'iframe est mis en bac à sable et n'est accessible que si Google ajoute une même autorisation de politique d'origine permettant au domaine de Medium d'y accéder. Voir this Article moyen pour plus d'informations sur les politiques Cross Origin avec iframes.

9
Justin Massey