Sayfalar

Translate Blog

21 Mart 2022 Pazartesi

Google ile Web Sayfalarına Giriş Yapmanın Tehlikeleri / Dangerous Side of Sign In With Google

Uzun zamandan beri birçok web sayfasına google butonları ile giriş yapıyorum. İlk kez kendi sayfama bu özelliği kazandırmak istedim. 2023'ten itibaren oAuth2 ismini verdikleri sistemi kapatıp yerine Google Credental sistemine geçiş yapmışlar. İşi biliyorsanız bir kaç uğraş ile sitenize ekleyebiliyorsunuz. Gerçi dökümanları eksik biraz.


Kolaylıklarının Yanında Teklikeleri Var

Kendi bilgisayarınızda hesaplarınınz sürekli açıktır ve bir siteye kaydolmamak için yana yakıla google butonu ararsınız varsa çok mutlu olursunuz. Fakat bu apinin kullanımında çok tehlikeli bir sorunu tespit ettik. Siz bir A sitesine google butonu ile giriş yaptığınız zaman o tarayıcıda artık gmail ve benzeri tüm google uygulamalarına da giriş yapmış oluyorsunuz. A sitesinden çıkış yaptınız diyelim ne yazikki google hesabınız o tarayıcıda halen daha açık kalıyor. Tamam kalsın diyorsunuz, fakat...

En Tehlikeli Senaryo

Başka birine ait veya internet kafedeki bir bilgisayardasınız. A sitesine google butonu ile giriş yaptınız. İşiniz bitti çıkış yaptınız ve masadan kalkıp gittiniz. Başka birisi aynı bilgisayar tarayıcı ile epostasına bakmak istedi ve gmail.com adresine girdi. Göreceği ilk  şey giriş yapılmış bir gmail eposta hesabı olacak. Hemde size ait gmail hesabı. Kötü niyetli birisi ise geçmişiniz, bilgileriniz, gmail ile bağlı olan uygulamalarınız (facebook, twitter, instagram vb...) hepsi çalınır.

Ne Yapmalısınız?

Bir geliştirici olarak google hesaplarından çıkış yaptırmanın bir yolu olmadığını araştırarak gördük. Hiçbir Google Api'si logout yaptıramıyor veya yaptırmıyor. Bunun temel nedeni kullanıcılar bir kere giriş yaptığından sürekli onlardan veri almaya devam etmek istemesi.

Peki kullanıcı olarak ne yapmalısınız:

  • Halka açık bir yerde google ile bağlan düğmelerini kullandıysanız muhakkak gmail.com sitesine girerek çıkış yapınız.
  • Veya "https://www.google.com/accounts/Logout" bu adresi ziyaret ederek tarayıcıdaki google hesabınızı kapatın.
Geliştirici iseniz ne yapmalısınız:
  1. Öncelikle google'a bu yöntemin yanlış olduğunu bildiren bir metin yazmalısınız.
  2. İkinci olarak Sign In With Google ile giriş yaptırıyorsanız kullanıcıya bu durumu bildirecek bir arayüz hazırlamalısınız.
  3. Çıkış butonlarınız iki özelliği de kapsamalı
    1. Google hesabım açık kalsın sadece siteden çıkış yap
    2. Hem siteden hem de google hesabımdan çıkış yap
  4. İki hesabı birden kapatmak için web sitenizdeki sessionları temizledikten sonra "https://www.google.com/accounts/Logout" adresine siteyi otomatik yönlendirin. Böylelikle google hesabı da kapanmış olacaktır.

Hiç yorum yok:

Yorum Gönder

Yorumunuz