Tham dự Tech Lounge

Tham dự Tech Lounge


OAuth là gì? Chuyện gì sẽ xảy ra khi bạn đăng nhập website bằng nick Facebook, Google, Twitter…?

TDNC
8/3/2013 7:20Phản hồi: 121
121 bình luận
Chia sẻ

Xu hướng

ở xứ voz mà dùng kiểu đăng nhập này thì bao nhiêu fb cho đủ :lmao:
anti-fan
TÍCH CỰC
11 năm
Giả sưu có một trang tên là tinhste.vn, nó bắt nhập tài khoản facebook sau đó ăn cắp luôn mật khẩu thì làm thế nào?

Tóm lại mấy cái này không an toàn chút nào, bao nhiêu trang lừa đảo như thế, mất acc facebook, yahoo, google nó lại lấy đi lừa đảo người khác nạp tiền điện thoại chẳng hạn.

Credit card cũng toàn bị mất theo cơ chế này.
@anti-fan Cái trò tạo 1 form giả mạo để ăn cắp pass thì có hay không có những cơ chế, giao thức này cũng thế, chả khác gì cả :-j
@anti-fan Đa số credit card mất do shop bảo mật kém, bị hacker khai thác. Còn fishing thì người dùng đâu còn ngu ngơ như thời mới có internet nữa.
zesny95
TÍCH CỰC
11 năm
@anti-fan nếu như thế thì chẳng liên quan gì đến cách đăng nhập này cả, đó là do cá nhân bạn
Vì bị lừa như kiểu bạn chẳng nhất thiết phải đăng nhập bằng cách này mới mất pass miễn là bạn đăng nhập trên cái site nó làm giả thì mất thôi.
mấy trang hack thẻ game toàn rip lại site thật xong tạo form nhập ảo, nhập vào là mất, cái này hoàn toàn khác
Bạn sẽ đăng nhập facebook bằng địa chỉ facebook popup lên từ trang đó, chẳng liên quan gì đến website bạn đang truy cập, hoặc nếu đã đăng nhập từ trước thì chỉ cần xác nhận quyền là có thể truy cập được.
anti-fan
TÍCH CỰC
11 năm
@Long_Xuyen_Boy Vẫn có cực nhiều người bị mất yahoo vì fishing, chứng tỏ người dùng vẫn cực kỳ ngu ngơ chứ không thông thái như bạn nghĩ.
@anti-fan Đa số những người dung Yahoo mà dính fishing rất ít hoặc chưa bao giờ dùng credit card, online banking. Còn những người mình nói ko còn ngu ngơ là những người thường xuyên thanh toán onl ấy ^^
tins
ĐẠI BÀNG
11 năm
Bài viết mới dừng ở phần nổi của tảng băng, những gì tác giả thấy thôi.
Còn phần chìm thì cần phải đánh giá, ko ace lại hiểu nhầm.
Những trang web có vẻ không an toàn mình không dám đăng nhập cùng gmail ,facebook .sợ bi hack .ai biết có an toàn hay không chứ .😁
chà, cái nào cũng nguy hiểm
anti-fan
TÍCH CỰC
11 năm
Tóm lại đừng bao giờ dùng lung tung, facebook chỉ nên đăng nhập facebook, yahoo chỉ nên đăng nhập yahoo, thế mà vẫn còn bị lừa, huống chi đi đănh nhập ở trang khác.
osk9x
ĐẠI BÀNG
11 năm
nhưng ko thích cái này ở chổ khi đăng nhập bằng Facebook thì các trang cứ cập nhật feed linh tinh trên Facebook của mình mà mình không muốn >.<
1ink
TÍCH CỰC
11 năm
TDNC

Theo mình và nhiều người khác cách đăng nhập bằng OAuth hay OpenID đều không an toàn hơn (thậm trí là kém an toàn hơn) mà chỉ tiện lợi hơn cho người dùng.

Ví dụ thế này: giờ cả nhà bạn chỉ cần 1 cái chìa khóa (1 username/password) thôi; khóa xe máy, khóa cửa nhà, khóa két,... tất cả chỉ cần 1 chìa khóa. Sẽ tiện hơn nhiều, nhưng nếu mất cái khóa đó thì sẽ rất nguy hiểm.

Ngoài ra lợi dụng sự phổ biến, hacker có thể tạo trang Fake Login (trang web đăng nhập giả) để lừa người dùng không có kinh nghiệm nhập password FB, Google +,... rồi lấy password người dùng vừa nhập.
d7293
CAO CẤP
11 năm
vào haivl.com là ví dụ điển hình nhất...
Nhưng mình không thik bên thứ 3 có quyền đăng những cái linh tinh lên timeline. Chắc phải làm 1 cái clone facebook để đi login chỗ khác 😁

Sent from my Nexus 7 using Tinhte.vn
@rooney_di_spacy Bác này chắc like Kênh 18+ trên FB sợ bị gấu phát hiện á 😆
@minhhien.nguyen77 Kênh 18+ chỉ cần search là vào đc, cần gì phải like 😁

Các bác tranh luận nhiều ý kiến trái chiều quá. Em hiểu thế này liệu có đúng không?
- OAuth là cái mà FB cung cấp cho 3rd để truy cập 1 số thông tin và có 1 số quyền nhất định với tài khoản của user (vd như cái daily photo lâu lâu nó lại đăng 1 cái ảnh từ bao đời của mình lên timeline). Và giao thức này chỉ an toàn khi nó đc cấp cho 3rd hoạt động trên FB (dạng app)
- OpenID là cái mà 3rd sử dụng để giúp user đăng nhập vào website của họ mà không cần tạo tài khoản mới. Và 3rd cũng có 1 app trên FB để được cấp OAuth nhằm có được 1 số quyền nhất định (vd như mình cmt trên haivl.com thì FB sẽ báo trên timeline là mình vừa cmt ở đó

=> Kết luận là khi mình login ở 1 web nào đó thì đấy chắc chắn là OpenID và nguy cơ mất tài khoản là khá cao. Còn việc mình chấp nhận cho 1 app nào đó có quyền truy cập thông tin thì mới là OAuth

Sent from my Nexus 7 using Tinhte.vn
@rooney_di_spacy Nếu người dùng cẩn thận (ko nhập pass vào 1 form ko đến từ URL của OpenID provider) thì không thể mất tài khoản.
an toàn hay ko an toàn thì nó chả liên quan gì đến cơm áo gạo tiền cả, 1 năm kinh tế buồn...buồn...buồn...buồn...buồn
thông tin bổ ích
Vậy cái mà TT đang xài là OpenID hay OAuth đây, và khi sử dụng trực tiếp thì nó có chỉ dấu gì để phân biệt kg. Đó mới là cái ace TT cần chứ kg cần định nghĩa dài dòng vô bổ.
@chuthoongc4 Chính xác thì tinhte không dùng OAuth, FB dùng, và tinhte dùng tính năng Facebook Login của FB cấp. Khi đăng nhập bằng FB trên tinhte thì tinhte có thể biết được các thông tin của bạn như:
- Thông tin cơ bản.
- Email.
- Ngày sinh, nơi sống, website.
- Và cả status của bạn.
Tất nhiên là các thông tin này được lấy từ tài khoản FB của bạn.
@tungchen Lại thêm 1 khái niệm mới, Facebook Login với OAuth khác nhau ở điểm nào?

Sent from my Nexus 7 using Tinhte.vn
@rooney_di_spacy Facebook Login là tính năng FB cung cấp cho các website để người dùng website đó đăng nhập bằng tài khoản FB của mình. Giao thức OAuth được sử dụng trong tính năng này. Tại sao tôi nói FB dùng OAuth, mà không có tinhte? Vì tôi nghĩ tinhte chỉ là 1 đối tượng trong quá trình xác thực của OAuth, chính FB mới triển khai OAuth.
@rooney_di_spacy Rõ rồi còn gì Facebook dùng công nghệ AOuth để cấp facebook login thôi, mình trình yếu nên hiểu thế kg biết có gì sai kg. Mod nào hiểu hơn đi ngang đá đít dùm.
Ko thích kiểu này tí nào
Badi King
ĐẠI BÀNG
11 năm
Không phải những j mod đăng cũng đúng ^^, tham khảo cho vui
Mấy bro này nói hay này, rõ ràng rành mạch dễ hiểu. Kg như mod viết lủng củng, thừa, giải thích lòng vòng nói chung thiếu trình.
Hay. Lâu nay cứ tưởng các site nó làm thế để thu thập thông tin người dùng cơ đấy. Giờ hiểu rồi thì cứ tẹt đi.
"...là một dạng xác thực danh tính dùng nick từ tài khoản xxx " :p Em là e lười reg nick lắm, có cái này tiện lợi nhanh chóng 😃
OAuth là authorization, ko phải authentication (xác thực) Bản thân OAuth không cung cấp tính năng xác thực (đọc RFC (link) để biết thêm chi tiết) mà nó phải dựa nào phương phức của giao thức khác.

OAuth cấp phép cho 3rd parties site truy cập thông tin người dùng sau khi đã xác thực (authentication hay dân dã gọi là login). OpenID mới là thứ để cấp cái việc login.
@Spirit Coder Cảm ơn bạn đã góp ý. OAuth phải là 1 quá trình. Tạm gọi là quá trình authorization như bạn nói. Nhưng cách bạn trả lời bạn kia lại hơi mâu thuẫn ?
@tungchen
Mình ghi là sau khi đã xác thực mà. 😃
@Spirit Coder Nói cách khác OAuth là cái đơn vị cung cấp giải pháp cho 1 tên 3rd nào đó muốn dùng công nghệ này và xác thực nó để cho phép 1 tên 3rd nào đó lấy ID, pass, thông tin sơ lược của bạn để giúp bạn login vào cái tên 3rd nào đó mà kg cần dùng gì ngoài click chuột vô cái biểu tượng login, mà cái biểu tượng login đó phải dùng cái do tụi OpenID cung cấp.
Cũng như Châu Âu xài đồng Euro vậy thôi 😁
Tiện lợi

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019