Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 53
Отлично!
Как вдруг зашевелились…
Дождались!
Еще бы эта возможность была прямо от производителей вконтакте… :(
Ну это вопрос к ВКонтакте :)
Я же, со своей стороны, обещаю сделать делегирование со страниц vkontakteid.ru/idXXXXXX на vkontakte.ru/idXXXXXX если они сделают свой OpenID провайдер.
Я же, со своей стороны, обещаю сделать делегирование со страниц vkontakteid.ru/idXXXXXX на vkontakte.ru/idXXXXXX если они сделают свой OpenID провайдер.
Поддержки sreg и ax (передача дополнительных данных о пользователе) пока нет.
<hr />
Но обещана? Будет в будущем?
Гм. Тег случайно затесался :( обещал же себе всегда нажимать на «предпросмотр».
Да, будет. Кроме email — его через Open API получить нельзя.
Очень ждем. Многообещающе!
А можноли доверять тем данным которые будут переданы стороне принимающей авторизацию? Ведь данные профиля пользователя ВКонтакте, от OpenAPI идут к Вам в Javascript в открытом виде, и ни как не подписаны (нету sign).
Тоесть при желании их можно подделать. Как эта проблема решается у Вас в сервисе?
Тоесть при желании их можно подделать. Как эта проблема решается у Вас в сервисе?
Ну это же не финансовая информация, sreg и ax предназначены для облегчения ввода одних и тех же данных на множестве сайтов.
Фамилия, имя, ник, год рождения и т.д.
Эта информация необязательна, любой провайдер OpenID может отказать её предоставить, и вследствии пользователь на конечных сайтах может ввести её вручную или в любой момент исправить.
Идетификация/Аутентификация же от OpenID подписана, и тут гарантируется, что пользователь именно тот.
Фамилия, имя, ник, год рождения и т.д.
Эта информация необязательна, любой провайдер OpenID может отказать её предоставить, и вследствии пользователь на конечных сайтах может ввести её вручную или в любой момент исправить.
Идетификация/Аутентификация же от OpenID подписана, и тут гарантируется, что пользователь именно тот.
Поддержка SReg уже добавлена.
стоить ли говорить ололо и то, что никто не сможет проконтролировать, собираете ли вы пароли?
Запустите снифер и посмотрите что и куда посылается.
ну тут понимаете как… сейчас оно работает напрямую через опен апи, а через месяц Вы (снова ничего личного) раз и включили сбор паролей…
openID не спрашивает паролей, хотя не все пользователи контактика это знают :)
я не разбирался в сути реализации, но даже по абзацу:
становится понятно, что ситуация, когда пароль запрашивается, имеет место быть… И да, неосведомленность пользователей тоже наруку — Вы правы
Аутентификация производится через официальный Open API, логин и пароль передаются напрямую на сервера ВКонтакте, а если вы залогинены там и у вас стоят куки, то их вообще вводить не придётся.
становится понятно, что ситуация, когда пароль запрашивается, имеет место быть… И да, неосведомленность пользователей тоже наруку — Вы правы
Мне кажется вы не очень глубоко разбираетесь в предмете. Уж насколько я неглубоко разбираюсь в предмете, но все-таки могу предположить, что была реализована модель, похожая на OAuth (кстати почему не стали ее использовать?) при которой логин и пароль никогда не проходит через сторонний ресурс.
Рискую показаться навязчивым, но единственная разумная причина, которую могу придумать (и которую успели заминусовать уже, мне непонятно отчего), почему не стали делать OAuth, OpenID и тд — это вот эта: habrahabr.ru/blogs/social_networks/92523/
OAuth Вконтакте сделает, судя по корпоративному блогу.
Но и сейчас через мой сайт никакие пароли не проходят.
Просто даже в OAuth чтобы получить токен, надо сначала быть залогиненым на том, сайте где его выдают. Т.е. ввести пароль )))
Тольком сейчас, в Open API я этот «токен» получаю каждый раз.
И если вы незалогинены в контакте, вам придется это сделать и ввести таки пароль )))
Но делаете это вы на сайте в контакте, просто в маленьком popup окошке.
О чем была речь, так это о подделке такого окошка.
Поэтому, как обычно, обращайте внимание на адрес страницы, куда вводите что-либо ценное ;)
Но и сейчас через мой сайт никакие пароли не проходят.
Просто даже в OAuth чтобы получить токен, надо сначала быть залогиненым на том, сайте где его выдают. Т.е. ввести пароль )))
Тольком сейчас, в Open API я этот «токен» получаю каждый раз.
И если вы незалогинены в контакте, вам придется это сделать и ввести таки пароль )))
Но делаете это вы на сайте в контакте, просто в маленьком popup окошке.
О чем была речь, так это о подделке такого окошка.
Поэтому, как обычно, обращайте внимание на адрес страницы, куда вводите что-либо ценное ;)
Это применимо к любому сайту сделанному через Open API.
Как я приводил пример, авторизуйтесь ВКонтакте напрямую, до захода на мой сайт — с куками ничего вводить не придётся.
Как я приводил пример, авторизуйтесь ВКонтакте напрямую, до захода на мой сайт — с куками ничего вводить не придётся.
ИМХО, ваше решение хоть и полезное, но с позиций безопасности вообще не годится. Авторизация — это же святое! Это можно доверить только тем, кому хорошо доверяешь. Я лично ничего не знаю про авторов. И какой с них спрос? Закроются завтра в связи с изменениями политики безопасности Вконтакта — и всё пропало. Так что спасибо, но я пас.
Спасибо! сейчас проверю =)))
Исходники бы…
вводить адрес VKontakteID.ru и вы будете авторизованыМожет быть, всё же идентифицированы?
Да, можно аутентифицированы. Авторизация осуществляется позже, когда вы разрешаете или нет доступ сайту.
вижу что нет поддержки символьных идентификаторов вконтакте, так ли это?
Блин, неужели у вас не хватает денег на SSL-сертификат?
К сожалению, думается, что это все нарушает соглашение, которое принимается при создании приложения: вы не можете гарантировать, что на сайтах, на которых люди залогинились через ВКонтакте, не принимается оплата через какую-нибудь робокассу или веб-мани. Начал по этому поводу писать комментарий, но показалось удобнее его разместить как отдельную заметку: habrahabr.ru/blogs/social_networks/92523/
Конкретно, где используется Open API — это сайт vkontakteid.ru Там я никаких платежей не принимаю.
А для чего используются данные пользователя — это уже дело приложения.
А то так можно дойти до маразма, и за обычную ссылку на сайте блокировать приложение ;)
А для чего используются данные пользователя — это уже дело приложения.
А то так можно дойти до маразма, и за обычную ссылку на сайте блокировать приложение ;)
Угу, я бы тоже это так трактовал. Но если что, будьте настороже все-таки. Т.к. вас-то они сами отключить могут, а вы сами подключиться — не можете. Заковырку можно найти всегда.
пример заковырки: «логин и пароль передаются напрямую на сервера ВКонтакте» — это не использование OpenAPI вашим приложением, но не с вашего сайта?
Сейчас у них появилась возможность получения собственных идентификаторов типа vk.com/yournickname… МБ стоит обновить в соответствии с этим?
Большое спасибо за этот сервис! Очень упрощает жизнь…
Круто, но, быть может, нужно поддержать имена, которые нынче вконтактег раздает в дополнение к номерам? А то залогинился в жж, жж знает меня как vkontakte.ru/idxxxxx, а мог бы как vkontakte.ru/yakovis
Блин, вы все ничего не понимаете в таких вещах, как безопасность. OpenID и все подобные схемы авторизации опасны и смахивают на фейки, для воровства паролей. Вводя свой вконтакте id на каком-то сайте, вы не можете знать.кому в руки попадет ваш пароль. В браузерах на сегодня нет никаких средств защиты от этого. W3C как всегда все прохлопал.
а щё было бы прикольно использовать «короткие имена» вместо idXXXXXX.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
ВКонтактеID = ВКонтакте + OpenID