Giả sưu có một trang tên là tinhste.vn, nó bắt nhập tài khoản facebook sau đó ăn cắp luôn mật khẩu thì làm thế nào?
Tóm lại mấy cái này không an toàn chút nào, bao nhiêu trang lừa đảo như thế, mất acc facebook, yahoo, google nó lại lấy đi lừa đảo người khác nạp tiền điện thoại chẳng hạn.
@anti-fan
nếu như thế thì chẳng liên quan gì đến cách đăng nhập này cả, đó là do cá nhân bạn
Vì bị lừa như kiểu bạn chẳng nhất thiết phải đăng nhập bằng cách này mới mất pass miễn là bạn đăng nhập trên cái site nó làm giả thì mất thôi.
mấy trang hack thẻ game toàn rip lại site thật xong tạo form nhập ảo, nhập vào là mất, cái này hoàn toàn khác
Bạn sẽ đăng nhập facebook bằng địa chỉ facebook popup lên từ trang đó, chẳng liên quan gì đến website bạn đang truy cập, hoặc nếu đã đăng nhập từ trước thì chỉ cần xác nhận quyền là có thể truy cập được.
@anti-fan
Đa số những người dung Yahoo mà dính fishing rất ít hoặc chưa bao giờ dùng credit card, online banking. Còn những người mình nói ko còn ngu ngơ là những người thường xuyên thanh toán onl ấy ^^
Tóm lại đừng bao giờ dùng lung tung, facebook chỉ nên đăng nhập facebook, yahoo chỉ nên đăng nhập yahoo, thế mà vẫn còn bị lừa, huống chi đi đănh nhập ở trang khác.
Theo mình và nhiều người khác cách đăng nhập bằng OAuth hay OpenID đều không an toàn hơn (thậm trí là kém an toàn hơn) mà chỉ tiện lợi hơn cho người dùng.
Ví dụ thế này: giờ cả nhà bạn chỉ cần 1 cái chìa khóa (1 username/password) thôi; khóa xe máy, khóa cửa nhà, khóa két,... tất cả chỉ cần 1 chìa khóa. Sẽ tiện hơn nhiều, nhưng nếu mất cái khóa đó thì sẽ rất nguy hiểm.
Ngoài ra lợi dụng sự phổ biến, hacker có thể tạo trang Fake Login (trang web đăng nhập giả) để lừa người dùng không có kinh nghiệm nhập password FB, Google +,... rồi lấy password người dùng vừa nhập.
@minhhien.nguyen77
Kênh 18+ chỉ cần search là vào đc, cần gì phải like 😁
Các bác tranh luận nhiều ý kiến trái chiều quá. Em hiểu thế này liệu có đúng không?
- OAuth là cái mà FB cung cấp cho 3rd để truy cập 1 số thông tin và có 1 số quyền nhất định với tài khoản của user (vd như cái daily photo lâu lâu nó lại đăng 1 cái ảnh từ bao đời của mình lên timeline). Và giao thức này chỉ an toàn khi nó đc cấp cho 3rd hoạt động trên FB (dạng app)
- OpenID là cái mà 3rd sử dụng để giúp user đăng nhập vào website của họ mà không cần tạo tài khoản mới. Và 3rd cũng có 1 app trên FB để được cấp OAuth nhằm có được 1 số quyền nhất định (vd như mình cmt trên haivl.com thì FB sẽ báo trên timeline là mình vừa cmt ở đó
=> Kết luận là khi mình login ở 1 web nào đó thì đấy chắc chắn là OpenID và nguy cơ mất tài khoản là khá cao. Còn việc mình chấp nhận cho 1 app nào đó có quyền truy cập thông tin thì mới là OAuth
@chuthoongc4
Chính xác thì tinhte không dùng OAuth, FB dùng, và tinhte dùng tính năng Facebook Login của FB cấp. Khi đăng nhập bằng FB trên tinhte thì tinhte có thể biết được các thông tin của bạn như:
- Thông tin cơ bản.
- Email.
- Ngày sinh, nơi sống, website.
- Và cả status của bạn.
Tất nhiên là các thông tin này được lấy từ tài khoản FB của bạn.
@rooney_di_spacy
Facebook Login là tính năng FB cung cấp cho các website để người dùng website đó đăng nhập bằng tài khoản FB của mình. Giao thức OAuth được sử dụng trong tính năng này. Tại sao tôi nói FB dùng OAuth, mà không có tinhte? Vì tôi nghĩ tinhte chỉ là 1 đối tượng trong quá trình xác thực của OAuth, chính FB mới triển khai OAuth.
@rooney_di_spacy
Rõ rồi còn gì Facebook dùng công nghệ AOuth để cấp facebook login thôi, mình trình yếu nên hiểu thế kg biết có gì sai kg. Mod nào hiểu hơn đi ngang đá đít dùm.
OAuth là authorization, ko phải authentication (xác thực) Bản thân OAuth không cung cấp tính năng xác thực (đọc RFC (link) để biết thêm chi tiết) mà nó phải dựa nào phương phức của giao thức khác.
OAuth cấp phép cho 3rd parties site truy cập thông tin người dùng sau khi đã xác thực (authentication hay dân dã gọi là login). OpenID mới là thứ để cấp cái việc login.
@Spirit Coder
Cảm ơn bạn đã góp ý. OAuth phải là 1 quá trình. Tạm gọi là quá trình authorization như bạn nói. Nhưng cách bạn trả lời bạn kia lại hơi mâu thuẫn ?
@Spirit Coder
Nói cách khác OAuth là cái đơn vị cung cấp giải pháp cho 1 tên 3rd nào đó muốn dùng công nghệ này và xác thực nó để cho phép 1 tên 3rd nào đó lấy ID, pass, thông tin sơ lược của bạn để giúp bạn login vào cái tên 3rd nào đó mà kg cần dùng gì ngoài click chuột vô cái biểu tượng login, mà cái biểu tượng login đó phải dùng cái do tụi OpenID cung cấp.