Войдите, используя аккаунт Google

[pashka_r]

Весьма здравая мысль. Хорошо это Вы подметили.

[dfayruzov]

Спасибо.

[Teemk]

спасибо за информацию - возьму на заметку ;)
а что означает тэг ][ в новости? :)

[monitoringe]

][ — часть логотипа известного секурити журнала «Хакер», типа «][акер», «][ак»

[Teemk]

спасибо буду знать)

[investor]

Просто уже давно заменяю слова типа "хак, взлом, крякнуть итд" на символ ][. Весьма распространен и знает про него большинство гиков. Да и писать быстрее )

[SteelRat]

По моему этот ваш ][ - детский сад, не в обиду будет сказано :)

[BmW]

причастие причастность, думаю так.

[investor]

Спасибо, исправил!

[paradonado]

у меня также давно уже появились опасания также по этому поводу

странно что еще злые сили не додумались фишинговать аки

[investor]

Я тоже об этом уже где-то месяца 2 думал )
Сервисов то с каждым днем все больше и больше) Так что, как говориться, - поживем - увидим)

[alexmsk]

Интересно, злые хацкеры читают хабр? :)

[pavel_kudinov]

читаем ;-)

[DeleteOne]

Вам никого обмануть не дала отвратительно сжатая JPEG картинка =)

[investor]

Это я сделал для устрашения. Специально не открывал photoshop. Надо же показать всем, насколько это будет опасно. Проверяйтесь перед вводом данных)

[gribozavr]

Будьте бдительны! Не вводите свои данные в jpeg-картинки :)

[investor]

Хотя можно было еще пару пиратских флагов нарисовать справа и слева)

[awful_roger]

В бане: "Занавесками не вытираться!"
-А это мысль!
P.S. Спасибо, надо быть осторожней.

[trinko]

подобную картинку вижу лишь на gmail.com =) я счастливый или неудачник?

[trinko]

P.S. Почему-то ни OpenID ни MS.Passport не мешали "поддельные" формы авторизации жить. Хотя лично я их не видел.

[neoromantic]

openid не просит ввести пароль.

[trinko]

Это не избавляет их от статуса "глобальной авторизации"

[neoromantic]

да. Но там никакая фейковая форма не поможет ничего украсть. В том и смысл.

[trinko]

Повторяю, интересное и нестандартное решение, не избавляет их от статуса "глобальной авторизации" =)

[neoromantic]

да и кого "их"? OpenID это не компания и не какие-то конкретные люди. это технология. Я предоставляю OpenID, вы можете предоставлять OpenID. В OpenID как раз никакой глобальности и не присутствует. Это полностью децентрализованная система.

[trinko]

Это ты и я как разработчики можем предоставлять OpenID, а как пользователь я однажды зарегистрировавшись могу логинится на кучище ресурсов.

[elias]

Аналогичный случай. Как жить дальше?!

[Klaus]

На yuotube есть.

[sphere]

А можно ссылку на конкретный ресурс с такой формой?
По картинке не ясны детали. К примеру, я бы слал юзера на страницу авторизации самого гугола (с соответствуюшей скрытой идентификацией нужного ресурса). Или перед формой давал ссылку на гуголовскую страницу подтверждения данного ресурса.
Неужели здесь так тупо?

[ulfurinn]

Orkut, например.

[sphere]

Спасибо. Весело.
Самое главное, что это легко мог быть и не Гугол, а народ всё равно бы повёлся.

[awful_roger]

Когда мне друг прислал ссылку на Orkut года полтора назад, я предупредил его, что похоже на выманивание паролей. Потом был удивлен, что это действительно Google - они сами создают угрозу своим пользователям, не отправляя для авторизации на свой домен.

[investor]

Именно с него и картинка

[uranik]

например https://www.blogger.com/start
просит ввести пароль от google

[Fade]

amazon, by.com + многие магазины

[investor]

тот же netvides

[MikeOzornin]

А что Гугл не предоставляет сервисов авторизации, и вынуждает использовать такие странные методы?

[MikeOzornin]

К тому, что лоигинитьсяв гугл надо в одном месте, а в других опция "зайдите использую аккаунт гугла" должна работать без второго ввода логина-пароля. И сам факт этого ввода наводит на подозрения.

[NLS]

Логиньтесь только на gmail, в остальные места авторизация передасться :)

[vofka]

не совсем так... авторизация не везде передается.
например, использую docs.google.com, google меня "запоминают".
хотя, когда захожу на adwords.google.com - не запоминает (авторизация там через iframe на основном домене google.com).

но дело не в том запоминает или нет... самое главное, о чем пишет автор (и полностью с ним согласен) - нужно проверять соответствие доменного имени форме авторизации - это обязательно нужно делать, и не только для google аккаунта - надо просто выработать такую привычку.
это должно быть такой же привычкой, как и проверять в форме оплаты чего-либо по карте то, что данные будут передаваться по SSL, что есть сертификат и т.д.

[Aloner]

Успел попасться на такой крючок. Некое "Hi5" с претензией на социальную сеть выудило у меня пароль на Gmail именно таким способом. Через пару часов дошло что же натворил - сменил пароль. Вроде бы ничего страшного случиться не успело :)

[Klaus]

А кто обратил твое внимание на Hi5? ;)

[Aloner]

Ты был один из ;)

[Klaus]

Я не откуда не был. Мне письмо пришло от тебя. :)

[Aloner]

Ты был один из тех, кто обратил мое внимание на завтык ;)

[investor]

Вообще-то hi5 как раз и официально. 10 миллионов пользователей по-моему. Так что в том то и проблема - отличить сложно)

[Aloner]

Да, но на самом Hi5 больше ни слова о Google я не нашел. Всё равно подозрительно.

[investor]

И таких сервисов с каждым днем все больше и больше. Среди официальных попадется один да фишинговый.

[ilovekostya]

Нужно быть просто внимательнее чтобы не попасть на такие приколы :)

[chx]

когда я открываю ещё ни разу мною не посещённый проект, принадлежащий гуглу, он меня почему-то узнаёт.
А вот зачем использовать такие странные методы, дающие свободу для фишинга, когда есть OpenID, совсем непонятно.

[Fade]

наверно нужен отдельный блог для подобных фич. Чтобы всегда под рукой иметь своего рода справочник, чего делать не стоит.

[Fade]

спасибо за предостережение. Активно пользуюсь сервисами Google и поэтому мог "пролететь".
inc() на твою карму.

[Xobb]

стараюсь логинится и регистрироватся в гуглосервис с страниц гулга. например: http://www.google.com/intl/ru/options/