Comments 53
Отлично!
+3
Как вдруг зашевелились…
-5
Дождались!
+1
Еще бы эта возможность была прямо от производителей вконтакте… :(
+6
Ну это вопрос к ВКонтакте :)
Я же, со своей стороны, обещаю сделать делегирование со страниц vkontakteid.ru/idXXXXXX на vkontakte.ru/idXXXXXX если они сделают свой OpenID провайдер.
Я же, со своей стороны, обещаю сделать делегирование со страниц vkontakteid.ru/idXXXXXX на vkontakte.ru/idXXXXXX если они сделают свой OpenID провайдер.
+2
Поддержки sreg и ax (передача дополнительных данных о пользователе) пока нет.
<hr />
Но обещана? Будет в будущем?
+2
Гм. Тег случайно затесался :( обещал же себе всегда нажимать на «предпросмотр».
+1
Да, будет. Кроме email — его через Open API получить нельзя.
0
Очень ждем. Многообещающе!
0
А можноли доверять тем данным которые будут переданы стороне принимающей авторизацию? Ведь данные профиля пользователя ВКонтакте, от OpenAPI идут к Вам в Javascript в открытом виде, и ни как не подписаны (нету sign).
Тоесть при желании их можно подделать. Как эта проблема решается у Вас в сервисе?
Тоесть при желании их можно подделать. Как эта проблема решается у Вас в сервисе?
0
Ну это же не финансовая информация, sreg и ax предназначены для облегчения ввода одних и тех же данных на множестве сайтов.
Фамилия, имя, ник, год рождения и т.д.
Эта информация необязательна, любой провайдер OpenID может отказать её предоставить, и вследствии пользователь на конечных сайтах может ввести её вручную или в любой момент исправить.
Идетификация/Аутентификация же от OpenID подписана, и тут гарантируется, что пользователь именно тот.
Фамилия, имя, ник, год рождения и т.д.
Эта информация необязательна, любой провайдер OpenID может отказать её предоставить, и вследствии пользователь на конечных сайтах может ввести её вручную или в любой момент исправить.
Идетификация/Аутентификация же от OpenID подписана, и тут гарантируется, что пользователь именно тот.
0
стоить ли говорить ололо и то, что никто не сможет проконтролировать, собираете ли вы пароли?
-10
Запустите снифер и посмотрите что и куда посылается.
0
ну тут понимаете как… сейчас оно работает напрямую через опен апи, а через месяц Вы (снова ничего личного) раз и включили сбор паролей…
-1
openID не спрашивает паролей, хотя не все пользователи контактика это знают :)
+7
я не разбирался в сути реализации, но даже по абзацу:
становится понятно, что ситуация, когда пароль запрашивается, имеет место быть… И да, неосведомленность пользователей тоже наруку — Вы правы
Аутентификация производится через официальный Open API, логин и пароль передаются напрямую на сервера ВКонтакте, а если вы залогинены там и у вас стоят куки, то их вообще вводить не придётся.
становится понятно, что ситуация, когда пароль запрашивается, имеет место быть… И да, неосведомленность пользователей тоже наруку — Вы правы
-4
Мне кажется вы не очень глубоко разбираетесь в предмете. Уж насколько я неглубоко разбираюсь в предмете, но все-таки могу предположить, что была реализована модель, похожая на OAuth (кстати почему не стали ее использовать?) при которой логин и пароль никогда не проходит через сторонний ресурс.
0
Рискую показаться навязчивым, но единственная разумная причина, которую могу придумать (и которую успели заминусовать уже, мне непонятно отчего), почему не стали делать OAuth, OpenID и тд — это вот эта: habrahabr.ru/blogs/social_networks/92523/
0
OAuth Вконтакте сделает, судя по корпоративному блогу.
Но и сейчас через мой сайт никакие пароли не проходят.
Просто даже в OAuth чтобы получить токен, надо сначала быть залогиненым на том, сайте где его выдают. Т.е. ввести пароль )))
Тольком сейчас, в Open API я этот «токен» получаю каждый раз.
И если вы незалогинены в контакте, вам придется это сделать и ввести таки пароль )))
Но делаете это вы на сайте в контакте, просто в маленьком popup окошке.
О чем была речь, так это о подделке такого окошка.
Поэтому, как обычно, обращайте внимание на адрес страницы, куда вводите что-либо ценное ;)
Но и сейчас через мой сайт никакие пароли не проходят.
Просто даже в OAuth чтобы получить токен, надо сначала быть залогиненым на том, сайте где его выдают. Т.е. ввести пароль )))
Тольком сейчас, в Open API я этот «токен» получаю каждый раз.
И если вы незалогинены в контакте, вам придется это сделать и ввести таки пароль )))
Но делаете это вы на сайте в контакте, просто в маленьком popup окошке.
О чем была речь, так это о подделке такого окошка.
Поэтому, как обычно, обращайте внимание на адрес страницы, куда вводите что-либо ценное ;)
0
Это применимо к любому сайту сделанному через Open API.
Как я приводил пример, авторизуйтесь ВКонтакте напрямую, до захода на мой сайт — с куками ничего вводить не придётся.
Как я приводил пример, авторизуйтесь ВКонтакте напрямую, до захода на мой сайт — с куками ничего вводить не придётся.
0
ИМХО, ваше решение хоть и полезное, но с позиций безопасности вообще не годится. Авторизация — это же святое! Это можно доверить только тем, кому хорошо доверяешь. Я лично ничего не знаю про авторов. И какой с них спрос? Закроются завтра в связи с изменениями политики безопасности Вконтакта — и всё пропало. Так что спасибо, но я пас.
+11
Спасибо! сейчас проверю =)))
0
Исходники бы…
+1
вводить адрес VKontakteID.ru и вы будете авторизованыМожет быть, всё же идентифицированы?
+3
Да, можно аутентифицированы. Авторизация осуществляется позже, когда вы разрешаете или нет доступ сайту.
0
вижу что нет поддержки символьных идентификаторов вконтакте, так ли это?
0
Блин, неужели у вас не хватает денег на SSL-сертификат?
0
К сожалению, думается, что это все нарушает соглашение, которое принимается при создании приложения: вы не можете гарантировать, что на сайтах, на которых люди залогинились через ВКонтакте, не принимается оплата через какую-нибудь робокассу или веб-мани. Начал по этому поводу писать комментарий, но показалось удобнее его разместить как отдельную заметку: habrahabr.ru/blogs/social_networks/92523/
0
Конкретно, где используется Open API — это сайт vkontakteid.ru Там я никаких платежей не принимаю.
А для чего используются данные пользователя — это уже дело приложения.
А то так можно дойти до маразма, и за обычную ссылку на сайте блокировать приложение ;)
А для чего используются данные пользователя — это уже дело приложения.
А то так можно дойти до маразма, и за обычную ссылку на сайте блокировать приложение ;)
+1
Угу, я бы тоже это так трактовал. Но если что, будьте настороже все-таки. Т.к. вас-то они сами отключить могут, а вы сами подключиться — не можете. Заковырку можно найти всегда.
0
пример заковырки: «логин и пароль передаются напрямую на сервера ВКонтакте» — это не использование OpenAPI вашим приложением, но не с вашего сайта?
0
Сейчас у них появилась возможность получения собственных идентификаторов типа vk.com/yournickname… МБ стоит обновить в соответствии с этим?
0
Большое спасибо за этот сервис! Очень упрощает жизнь…
0
Круто, но, быть может, нужно поддержать имена, которые нынче вконтактег раздает в дополнение к номерам? А то залогинился в жж, жж знает меня как vkontakte.ru/idxxxxx, а мог бы как vkontakte.ru/yakovis
-2
Блин, вы все ничего не понимаете в таких вещах, как безопасность. OpenID и все подобные схемы авторизации опасны и смахивают на фейки, для воровства паролей. Вводя свой вконтакте id на каком-то сайте, вы не можете знать.кому в руки попадет ваш пароль. В браузерах на сегодня нет никаких средств защиты от этого. W3C как всегда все прохлопал.
-2
Вам, понимающему, настойчиво рекомендую почитать спецификацию OpenID и найти хоть одно место где упоминается пароль.
+1
Ну завтра я сделаю сайт и предложу всем туда вводить свои логины и пароле вконтакте. И чем поможет спецификация?
0
а щё было бы прикольно использовать «короткие имена» вместо idXXXXXX.
-1
Sign up to leave a comment.
ВКонтактеID = ВКонтакте + OpenID