Форум PHP

БЕЗОПАСНА ли авторизация через социальную сеть, для социальной сети?
Как сделать авторизацию БЕЗОПАСНОЙ для своего сайта через социальную сеть
Именно БЕЗОПАСНОЙ

а почему вы считаете, что она небезопасна?

потому что данные передаются 3-им лицам. Лучше не использовать на соц. сетях авторизацию через другие соц. сети. Если ресурс хороший, то пользователи вобьют свои email и пароль...

и какие именно данные передаются 3м лицам?

наверно - Путину, Медведеву и владельцу ресурса

нет, я просто действительно не понимаю, кажется многие советуют то, не зная что или типа того. несколько я помню, при авторизации через соц.сеть авторизация идет исключительно через форму на сайте соц.сети плюс ко всему, при авторизации соц. сеть предупреждает какие именно данные пытаются получить у пользователя, т.е всегда можно отказаться. пароль от аккаунта получить там точно нельзя. поэтому мне не понятно что там небезопасно. тем более, если бы это было небезопасно, соц. сети давно бы запилили эту возможность. им то точно не выгодно, если их пользователей будут ломать

Откуда беруться данные.
У меня несколько регистраций на Яндексе.
Допустим, я вхожу под яндексом.
Какой пользователь будет авторизован, откуда и кто берет данные - из Куки?
Если из Куки, то как домен (сетей) получает доступ к Куки, если я на другом сайте

просто почитайте как работает oauth

Где почитать? А не могли бы вы помочь и кратко ответить на вопрос?

Ответ: безопасна. Гугл очень часто эффективнее форума http://ru.m.wikipedia.org/wiki/OAuth

>Ответ: безопасна.
как-от очень уж категорично...

"Аутодафе" Эрана Хаммера (ссылка в указанной вики-статье) предостерегает от таких черно-белых выводов.

Вообще то там написано, что все кроме OAuth 2.0 обладали уязвимостью
Из логики событий и интуитвного опыта следует, что в OAuth 2.0 пока не выявияли уязвимости

Ну я так и не понял, откуда они берут информацию, ИЗ КУКИ?
http://ru.m.wikipedia.org/wiki/OAuth

3.1.  Authorization Endpoint The way in which the authorization server authenticates the resource owner    (e.g., username and password login, session cookies) is beyond the     scope of this specification.. Перевод То, каким образом сервер авторизации идентифицирует владельца ресурса    (например, имя пользователя и пароль Логин сессионные куки) находится за пределами      данного описания.

http://www.youtube.com/results?search_query=OAuth+2.0&page=1
Столько видео OAuth 2.0 и нb одного по-русски
Странно, что в России все кто бъет себя в грудь, что знают, оказывается просто копируют и не понимают, не могут кратко и наглядно объяснить.

А говорить о наших собственных продвинутых разработках просто не приходится
От этого мы всегда в жопе и в кризисах

какую информацию? о чем вы? пользователь авторизуется через соц. сеть, соц. сеть возвращает вам ответ с пользовательскими данными, которые вы запросили. что дальше делать с этими данными решать вам

Как из сторонней соц. сети "запилить" (запросить) пароль пользователя, чтобы передать его в свою базу данных? Если что-то произойдёт с соц. сетью (например, запретят её на территории страны) каким образом можно будет авторизовать пользователя под его аккаунтом?

бред какой-то пишете. ни одна соц. сеть не даст пароля пользователя, более того, с большой вероятностью, у себя они его хранят в виде хэша. если что-то произойдёт с соц. сетью, всегда можно на выбор свою авторизацию, да и обычно авторизация делается сразу через несколько соц. сетей. короче, не вижу проблемы

Соц сеть пароль не передает, а только ОТКРЫТЫЕ данные аккаунта

Вы про Куки слышали или ТУПО пишите код или даже код не пишите?
Вы похже даже тескт русский не понимаете про куки.
Я тут раз 10 писал о куки, КАК ОТ СТЕНКИ ГОРОХ ОТСКАКИВАЕТ.

Если вы входите в соц сеть, то информации о вас для правильной авторизации, берется из КУКИ
Ели вы входите на сайт с авторизацией через соц сеть, то откуда кто и как передается информация о посетителе

Вы наверное не знаете, что такое куки и для чего они нужны.
Странно, ели вы не знаете для чего нужны КУКИ, но кодируете это хорошо, как вы можете утверждать

сложно поискать примеры oauth авторизации для того же фейсбука, чтобы самому понять, что речи о куках там не идёт? https://developers.facebook.com/docs/facebook-login/manually-build-a-login-flow/v2.2?locale=ru_RU
а может быть вы хотите разработчиков соц. сетей поучить работать с куками?
p.s просто еще раз перечитайте вашу же цитату из википедии и её кривой перевод, там имеется ввиду, что хранение имени пользователя, пароля и т.д на сервере не имеет отношения к oauth 2, это задача совсем другого характера. oauth 2 лишь отдает ответ на запрос, хранением данных, т.е признака авторизации пользователя, занимается владелец ресурса. сами блин нихрена не понимаете, но рассуждаете о жопе, кризисах и т.д

Удалите куки и попробуйте авторизоваться

Вы читатель дилетент, простой кодер, прфессиональный разработчик или практик-экспериментатор. Чему или кому вы верите, как познаете истину: Как читатель ребенк или как практик
Мы как два психически больных
Я вам про практику, тупо и слепо, а вы мне про РЕКЛАМУ - тоже тупо и слепо

Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться
Удалите куки и попробуйте авторизоваться

ПОкажите практически, дайте ссылку, ГДЕ МОЖНО ВОЙТИ БЕЗ КУКИ

войти КУДА?

Войдите на сайт любой с авторизацией через социальные сети с удаленной куки

вообще-то можно. не на все сайты конечно, но даже в php есть возможнось отключить cookie с помощью php_flag session.use_only_cookies off и тогда идентификатор сессии будет передаваться через адресную строку. но речь то совсем не об этом. вы кажется до сих пор не поняли, что куки не имеют отношения к безопасности авторизации через соц. сети, точнее на самом деле имеют конечно же, но это уже касается только браузера пользователя и самой соц. сети, но никак не сервиса, который эту самую авторизацию через соц. сеть интергирует. и об этом как раз имеется ввиду в вашей цитате из вики. потом уже, когда пользователь авторизовался в соц. сети и сайт, интегририрующий авторизацию, получил ответ в виде пользовательских данных через oatuh, уже можно поднимать вопрос сессий, куков и всего остального. но конкретно это не относится к безопасности авторизации через соц. сеть, это уже относится просто к безопасности авторизации на сайте, а это уже совсем другая история.
поэтому, не практик-дилетант-демагог-словоблуд и не только тут именно вы

http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=22123

http://yandex.ru/yandsearch?text=%D0%92%D0%B7%D0%BB%D0%BE%D0%BC%20%D1%87%D0%B5%D1%80%D0%B5%D0%B7%20%D0%BA%D1%83%D0%BA%D0%B8&lr=2&csg=0%2C2462%2C16%2C1%2C0%2C1%2C0

это я и без вас знаю. только какое отношение это имеет к данной теме?

Надо было удалить куки,.
Удалить куки надо в браузере, в настройках, для данного сайта (соц сети)
ТОгда вы увидите что не войти.
Следовательно информация из куки передаётся по сети.
Следовательно её можно перехватить и имитировать при взломе
Безопасность определяется экспериментом и то что вы не знаете как, не означает безопасности

это не имеет никакого отношения к данной теме, поэтому заканчивайте. жить тоже очень опасно. я вот сейчас лежу на кровати и пишу это сообщение, но это не означает безопасности, т.к может произойти землетрясение и потолок может обвалиться

Безопасный метод авторизации на PHP
http://habrahabr.ru/post/13726/

Можете рассматривать Методологию, а не зубрить код

ТАм сказано
При регистрации ... В куки пользователя мы записываем его уникальный индетификатор и сгенерированный hash.

Удалите куки и попробуйте авторизоваться
https://www.google.ru/search?num=100&newwindow=1&site=&source=hp&q=%D1%83%D0%B4%D0%B0%D0%BB%D0%B8%D1%82%D1%8C+%D0%BA%D1%83%D0%BA%D0%B8+%D0%B2+%D1%85%D1%80%D0%BE%D0%BC%D0%B5&oq=%D0%A3%D0%B4%D0%B0%D0%BB%D0%B8%D1%82%D0%B5+%D0%BA%D1%83%D0%BA%D0%B8&gs_l=hp.1.1.0i22i30l9.2896.7685.0.10304.13.12.0.1.1.0.251.691.11j0j1.12.0.msedr...0...1c.1.60.hp..1.12.443.0.rfYNal441EU

Вы никогда не слышали про куки?
https://ru.wikipedia.org/wiki/HTTP_cookie

del. ответ чуть выше

Хватит звенеть попусту
Удалите куки и попробуйте авторизоваться на любом сайте
Удалите куки и попробуйте авторизоваться на любом сайте
Удалите куки и попробуйте авторизоваться на любом сайте
Удалите куки и попробуйте авторизоваться на любом сайте
Удалите куки и попробуйте авторизоваться на любом сайте
Удалите куки и попробуйте авторизоваться на любом сайте
Удалите куки и попробуйте авторизоваться на любом сайте
Удалите куки и попробуйте авторизоваться на любом сайте
Удалите куки и попробуйте авторизоваться на любом сайте
Удалите куки и попробуйте авторизоваться на любом сайте
Удалите куки и попробуйте авторизоваться на любом сайте
Удалите куки и попробуйте авторизоваться на любом сайте
Удалите куки и попробуйте авторизоваться на любом сайте
Удалите куки и попробуйте авторизоваться на любом сайте
Вы читатель - дилетант, ученый - демагог, эрудит - словоблуд.
Вы не практик, вы не понимаете скрытых механизмов, а тупо, еще тупее ПЕРЕСКАЗЫВАЕТЕ

Ну удалил куки, ну ввел логин-пароль на любом сайте, и чО?