OAuth là gì? Chuyện gì sẽ xảy ra khi bạn đăng nhập website bằng nick Facebook, Google, Twitter…?

Thảo luận trong 'Đám mây, Dịch vụ trực tuyến' bắt đầu bởi TDNC, 8/3/13. Trả lời: 121, Xem: 81627.

  1. huynhtuananh

    Tham gia:
    13/9/07
    Được thích:
    84
    Best Answers:
    0
    huynhtuananh
    ĐẠI BÀNG
    ở xứ voz mà dùng kiểu đăng nhập này thì bao nhiêu fb cho đủ :lmao:
     
    rooney_di_spacy thích nội dung này.
  2. anti-fan

    Tham gia:
    7/12/11
    Được thích:
    941
    Best Answers:
    0
    anti-fan
    TÍCH CỰC
    Giả sưu có một trang tên là tinhste.vn, nó bắt nhập tài khoản facebook sau đó ăn cắp luôn mật khẩu thì làm thế nào?

    Tóm lại mấy cái này không an toàn chút nào, bao nhiêu trang lừa đảo như thế, mất acc facebook, yahoo, google nó lại lấy đi lừa đảo người khác nạp tiền điện thoại chẳng hạn.

    Credit card cũng toàn bị mất theo cơ chế này.
     
    zeroabscoffeelove2603 thích nội dung này.
    1. Spirit Coder

      Spirit Coder Thành viên

      Tham gia:
      24/5/12
      Được thích:
      1,017
      Best Answers:
      0
      Spirit Coder
      Spirit Coder @anti-fan Cái trò tạo 1 form giả mạo để ăn cắp pass thì có hay không có những cơ chế, giao thức này cũng thế, chả khác gì cả :-j
       
      Seiryu, hhhh1111anti-fan thích nội dung này.
    2. Long_Xuyen_Boy

      Long_Xuyen_Boy 朱玉清心

      Tham gia:
      30/7/09
      Được thích:
      3,356
      Best Answers:
      0
      Long_Xuyen_Boy
      CAO CẤP
      Long_Xuyen_Boy @anti-fan Đa số credit card mất do shop bảo mật kém, bị hacker khai thác. Còn fishing thì người dùng đâu còn ngu ngơ như thời mới có internet nữa.
       
      hhhh1111anti-fan thích nội dung này.
    3. zesny95

      Tham gia:
      21/6/12
      Được thích:
      609
      Best Answers:
      0
      zesny95
      TÍCH CỰC
      zesny95 @anti-fan nếu như thế thì chẳng liên quan gì đến cách đăng nhập này cả, đó là do cá nhân bạn
      Vì bị lừa như kiểu bạn chẳng nhất thiết phải đăng nhập bằng cách này mới mất pass miễn là bạn đăng nhập trên cái site nó làm giả thì mất thôi.
      mấy trang hack thẻ game toàn rip lại site thật xong tạo form nhập ảo, nhập vào là mất, cái này hoàn toàn khác
      Bạn sẽ đăng nhập facebook bằng địa chỉ facebook popup lên từ trang đó, chẳng liên quan gì đến website bạn đang truy cập, hoặc nếu đã đăng nhập từ trước thì chỉ cần xác nhận quyền là có thể truy cập được.
       
      Seiryu, hhhh1111anti-fan thích nội dung này.
    4. anti-fan

      Tham gia:
      7/12/11
      Được thích:
      941
      Best Answers:
      0
      anti-fan
      TÍCH CỰC
      anti-fan @Long_Xuyen_Boy Vẫn có cực nhiều người bị mất yahoo vì fishing, chứng tỏ người dùng vẫn cực kỳ ngu ngơ chứ không thông thái như bạn nghĩ.
       
    5. Long_Xuyen_Boy

      Long_Xuyen_Boy 朱玉清心

      Tham gia:
      30/7/09
      Được thích:
      3,356
      Best Answers:
      0
      Long_Xuyen_Boy
      CAO CẤP
      Long_Xuyen_Boy @anti-fan Đa số những người dung Yahoo mà dính fishing rất ít hoặc chưa bao giờ dùng credit card, online banking. Còn những người mình nói ko còn ngu ngơ là những người thường xuyên thanh toán onl ấy ^^
       
  3. tins

    tins Thành viên

    Tham gia:
    24/8/08
    Được thích:
    11
    Best Answers:
    0
    tins
    Bài viết mới dừng ở phần nổi của tảng băng, những gì tác giả thấy thôi.
    Còn phần chìm thì cần phải đánh giá, ko ace lại hiểu nhầm.
     
  4. vanduc1602

    Tham gia:
    7/10/10
    Được thích:
    1,877
    Best Answers:
    0
    vanduc1602
    CAO CẤP
    Những trang web có vẻ không an toàn mình không dám đăng nhập cùng gmail ,facebook .sợ bi hack .ai biết có an toàn hay không chứ .:D
     
  5. mrlongtt

    Tham gia:
    29/12/11
    Được thích:
    697
    Best Answers:
    0
    mrlongtt
    VIP
    chà, cái nào cũng nguy hiểm
     
  6. anti-fan

    Tham gia:
    7/12/11
    Được thích:
    941
    Best Answers:
    0
    anti-fan
    TÍCH CỰC
    Tóm lại đừng bao giờ dùng lung tung, facebook chỉ nên đăng nhập facebook, yahoo chỉ nên đăng nhập yahoo, thế mà vẫn còn bị lừa, huống chi đi đănh nhập ở trang khác.
     
    updatelife thích nội dung này.
  7. osk9x

    Tham gia:
    13/7/10
    Được thích:
    24
    Best Answers:
    0
    osk9x
    ĐẠI BÀNG
    nhưng ko thích cái này ở chổ khi đăng nhập bằng Facebook thì các trang cứ cập nhật feed linh tinh trên Facebook của mình mà mình không muốn >.<
     
  8. 1ink

    Tham gia:
    14/10/08
    Được thích:
    667
    Best Answers:
    0
    1ink
    TÍCH CỰC
    TDNC

    Theo mình và nhiều người khác cách đăng nhập bằng OAuth hay OpenID đều không an toàn hơn (thậm trí là kém an toàn hơn) mà chỉ tiện lợi hơn cho người dùng.

    Ví dụ thế này: giờ cả nhà bạn chỉ cần 1 cái chìa khóa (1 username/password) thôi; khóa xe máy, khóa cửa nhà, khóa két,... tất cả chỉ cần 1 chìa khóa. Sẽ tiện hơn nhiều, nhưng nếu mất cái khóa đó thì sẽ rất nguy hiểm.

    Ngoài ra lợi dụng sự phổ biến, hacker có thể tạo trang Fake Login (trang web đăng nhập giả) để lừa người dùng không có kinh nghiệm nhập password FB, Google +,... rồi lấy password người dùng vừa nhập.
     
    Seiryu, cattuong19nguyenvietlam thích nội dung này.
  9. d7293

    Tham gia:
    26/3/11
    Được thích:
    2,337
    Best Answers:
    0
    d7293
    TÍCH CỰC
    vào haivl.com là ví dụ điển hình nhất...
     
    mckplez thích nội dung này.
  10. rooney_di_spacy

    Tham gia:
    18/4/09
    Được thích:
    111
    Best Answers:
    0
    rooney_di_spacy
    Nhưng mình không thik bên thứ 3 có quyền đăng những cái linh tinh lên timeline. Chắc phải làm 1 cái clone facebook để đi login chỗ khác :D

    Sent from my Nexus 7 using Tinhte.vn
     
    nguyenkimvy thích nội dung này.
    1. minhhien.nguyen77

      Tham gia:
      30/10/11
      Được thích:
      131
      Best Answers:
      0
      minhhien.nguyen77
      ĐẠI BÀNG
      minhhien.nguyen77 @rooney_di_spacy Bác này chắc like Kênh 18+ trên FB sợ bị gấu phát hiện á :))
       
    2. rooney_di_spacy

      Tham gia:
      18/4/09
      Được thích:
      111
      Best Answers:
      0
      rooney_di_spacy
      rooney_di_spacy @minhhien.nguyen77 Kênh 18+ chỉ cần search là vào đc, cần gì phải like :D

      Các bác tranh luận nhiều ý kiến trái chiều quá. Em hiểu thế này liệu có đúng không?
      - OAuth là cái mà FB cung cấp cho 3rd để truy cập 1 số thông tin và có 1 số quyền nhất định với tài khoản của user (vd như cái daily photo lâu lâu nó lại đăng 1 cái ảnh từ bao đời của mình lên timeline). Và giao thức này chỉ an toàn khi nó đc cấp cho 3rd hoạt động trên FB (dạng app)
      - OpenID là cái mà 3rd sử dụng để giúp user đăng nhập vào website của họ mà không cần tạo tài khoản mới. Và 3rd cũng có 1 app trên FB để được cấp OAuth nhằm có được 1 số quyền nhất định (vd như mình cmt trên haivl.com thì FB sẽ báo trên timeline là mình vừa cmt ở đó

      => Kết luận là khi mình login ở 1 web nào đó thì đấy chắc chắn là OpenID và nguy cơ mất tài khoản là khá cao. Còn việc mình chấp nhận cho 1 app nào đó có quyền truy cập thông tin thì mới là OAuth

      Sent from my Nexus 7 using Tinhte.vn
       
    3. Spirit Coder

      Spirit Coder Thành viên

      Tham gia:
      24/5/12
      Được thích:
      1,017
      Best Answers:
      0
      Spirit Coder
      Spirit Coder @rooney_di_spacy Nếu người dùng cẩn thận (ko nhập pass vào 1 form ko đến từ URL của OpenID provider) thì không thể mất tài khoản.
       
  11. guti26

    guti26 Thành viên

    Tham gia:
    22/9/08
    Được thích:
    71
    Best Answers:
    0
    guti26
    an toàn hay ko an toàn thì nó chả liên quan gì đến cơm áo gạo tiền cả, 1 năm kinh tế buồn...buồn...buồn...buồn...buồn
     
  12. Duy_P900

    Tham gia:
    6/11/07
    Được thích:
    2,172
    Best Answers:
    0
  13. chuthoongc4

    Tham gia:
    13/3/09
    Được thích:
    358
    Best Answers:
    0
    chuthoongc4
    TÍCH CỰC
    Vậy cái mà TT đang xài là OpenID hay OAuth đây, và khi sử dụng trực tiếp thì nó có chỉ dấu gì để phân biệt kg. Đó mới là cái ace TT cần chứ kg cần định nghĩa dài dòng vô bổ.
     
    1. tungchen

      tungchen Thành viên

      Tham gia:
      11/11/11
      Được thích:
      14
      Best Answers:
      0
      tungchen
      tungchen @chuthoongc4 Chính xác thì tinhte không dùng OAuth, FB dùng, và tinhte dùng tính năng Facebook Login của FB cấp. Khi đăng nhập bằng FB trên tinhte thì tinhte có thể biết được các thông tin của bạn như:
      - Thông tin cơ bản.
      - Email.
      - Ngày sinh, nơi sống, website.
      - Và cả status của bạn.
      Tất nhiên là các thông tin này được lấy từ tài khoản FB của bạn.
       
      Giang Lợi Hại thích nội dung này.
    2. rooney_di_spacy

      Tham gia:
      18/4/09
      Được thích:
      111
      Best Answers:
      0
      rooney_di_spacy
      rooney_di_spacy @tungchen Lại thêm 1 khái niệm mới, Facebook Login với OAuth khác nhau ở điểm nào?

      Sent from my Nexus 7 using Tinhte.vn
       
    3. tungchen

      tungchen Thành viên

      Tham gia:
      11/11/11
      Được thích:
      14
      Best Answers:
      0
      tungchen
      tungchen @rooney_di_spacy Facebook Login là tính năng FB cung cấp cho các website để người dùng website đó đăng nhập bằng tài khoản FB của mình. Giao thức OAuth được sử dụng trong tính năng này. Tại sao tôi nói FB dùng OAuth, mà không có tinhte? Vì tôi nghĩ tinhte chỉ là 1 đối tượng trong quá trình xác thực của OAuth, chính FB mới triển khai OAuth.
       
      Seiryuntson thích nội dung này.
    4. chuthoongc4

      Tham gia:
      13/3/09
      Được thích:
      358
      Best Answers:
      0
      chuthoongc4
      TÍCH CỰC
      chuthoongc4 @rooney_di_spacy Rõ rồi còn gì Facebook dùng công nghệ AOuth để cấp facebook login thôi, mình trình yếu nên hiểu thế kg biết có gì sai kg. Mod nào hiểu hơn đi ngang đá đít dùm.
       
  14. cavoiu

    Tham gia:
    3/8/11
    Được thích:
    56,974
    Best Answers:
    0
    cavoiu
    TÍCH CỰC
    Ko thích kiểu này tí nào
     
  15. badi_tech

    Tham gia:
    13/6/09
    Được thích:
    146
    Best Answers:
    0
    badi_tech
    ĐẠI BÀNG
    Không phải những j mod đăng cũng đúng ^^, tham khảo cho vui
     
  16. chuthoongc4

    Tham gia:
    13/3/09
    Được thích:
    358
    Best Answers:
    0
    chuthoongc4
    TÍCH CỰC
    Mấy bro này nói hay này, rõ ràng rành mạch dễ hiểu. Kg như mod viết lủng củng, thừa, giải thích lòng vòng nói chung thiếu trình.
     
    hhhh1111 thích nội dung này.
  17. thanatox1

    Tham gia:
    22/11/07
    Được thích:
    1,008
    Best Answers:
    0
    thanatox1
    TÍCH CỰC
    Hay. Lâu nay cứ tưởng các site nó làm thế để thu thập thông tin người dùng cơ đấy. Giờ hiểu rồi thì cứ tẹt đi.
     
  18. hoctrongoan

    Tham gia:
    2/8/08
    Được thích:
    47
    Best Answers:
    0
    hoctrongoan
    "...là một dạng xác thực danh tính dùng nick từ tài khoản xxx " :p Em là e lười reg nick lắm, có cái này tiện lợi nhanh chóng :)
     
  19. Spirit Coder

    Spirit Coder Thành viên

    Tham gia:
    24/5/12
    Được thích:
    1,017
    Best Answers:
    0
    Spirit Coder
    OAuth là authorization, ko phải authentication (xác thực) Bản thân OAuth không cung cấp tính năng xác thực (đọc RFC (link) để biết thêm chi tiết) mà nó phải dựa nào phương phức của giao thức khác.

    OAuth cấp phép cho 3rd parties site truy cập thông tin người dùng sau khi đã xác thực (authentication hay dân dã gọi là login). OpenID mới là thứ để cấp cái việc login.
     
    1. tungchen

      tungchen Thành viên

      Tham gia:
      11/11/11
      Được thích:
      14
      Best Answers:
      0
      tungchen
      tungchen @Spirit Coder Cảm ơn bạn đã góp ý. OAuth phải là 1 quá trình. Tạm gọi là quá trình authorization như bạn nói. Nhưng cách bạn trả lời bạn kia lại hơi mâu thuẫn ?
       
    2. Spirit Coder

      Spirit Coder Thành viên

      Tham gia:
      24/5/12
      Được thích:
      1,017
      Best Answers:
      0
      Spirit Coder
      Spirit Coder @tungchen
      Mình ghi là sau khi đã xác thực mà. :)
       
    3. chuthoongc4

      Tham gia:
      13/3/09
      Được thích:
      358
      Best Answers:
      0
      chuthoongc4
      TÍCH CỰC
      chuthoongc4 @Spirit Coder Nói cách khác OAuth là cái đơn vị cung cấp giải pháp cho 1 tên 3rd nào đó muốn dùng công nghệ này và xác thực nó để cho phép 1 tên 3rd nào đó lấy ID, pass, thông tin sơ lược của bạn để giúp bạn login vào cái tên 3rd nào đó mà kg cần dùng gì ngoài click chuột vô cái biểu tượng login, mà cái biểu tượng login đó phải dùng cái do tụi OpenID cung cấp.
       
  20. kpap

    kpap Thành viên

    Tham gia:
    6/5/12
    Được thích:
    7
    Best Answers:
    0
    kpap
    Cũng như Châu Âu xài đồng Euro vậy thôi :D
    Tiện lợi
     
Đang tải...