訪問者が主流のIDプロバイダーにログインしているかどうかをWebサイトが検出し、IDを収集できますか?
OAuth(または類似の))を使用してメインストリームID(Google/Facebook/Githubなど)を使用してWebサイトにログインすることは、今日では人々が期待する機能になっています。
それよりも前に、対応するユーザーエクスペリエンスには、IDプロバイダーからのユーザーのデータへのアクセスをWebサイトに許可するかどうかを尋ねるポップアップが含まれていました。しかし、今日でもそれは標準ではなくなりました。シングルクリックでログインできます(たとえば、GitHubアカウントでtravis-ci.comにログインします)。
法的な制限(GDPRなど)を別にして、Webサイトが技術的に可能ですかサイレント誰がアクセスしているかを把握し、取得可能なデータを取得するために、さまざまなIDプロバイダーで訪問者をログインさせようとしますそれらのプロバイダーから?
言い換えれば、ログイン中にFacebookと言うためにWebサイトを閲覧した場合、それらは技術的に背後でログインして私の名前とFacebookが表示できるものを表示できますか?
場合によります。
ログインしているかどうかをWebサイトで確認できますか?
彼らはあなたの後ろにあなたをログインさせることができますか?
これは不可能であるべきです。
彼らはウェブサイトからデータを取得できますか?
私はこれを確信していませんが、これはウェブサイトのセキュリティに依存するはずです。たぶんあなたはいくつかの悪戯をすることができますが、安全な [〜#〜] cors [〜#〜] 実装と組み合わせてx-frame-optionsを適切に設定することで、ほとんどを防ぐことができます。
CORSはそのようなシステムの実際の実装に役割を果たし、直接的なセキュリティ上の利点がないため、私はCORSについてのみ言及していることに注意してください。