Cuando inicie sesión en mi cuenta de Google y visito una página web que contiene el botón "+1" de Google Plus, ¿el script tiene acceso a mi nombre, incluso si no interactúo con Google Plus? widget?
Cuando inicie sesión en mi cuenta de Google y visito una página web que contiene el botón "+1" de Google Plus, ¿el script tiene acceso a mi nombre, incluso si no interactúo con Google Plus? widget?
No, la página a la que accede no recibe su nombre ni ningún otro dato de Google.
Si tiene una mirada cercana, el botón está en un iframe. Un iframe es técnicamente como una página web en otra ventana. Debido a la misma política de origen estas páginas no pueden interactuar entre sí.
La única forma en que la página puede obtener información personal sobre usted es a través de la API de Google. Al igual que si inicia sesión en esta página con su cuenta de Google, pueden solicitar datos sobre usted, pero usted debe otorgar esta transferencia.
Hice una investigación sobre esto en 2012 para un blog en el que estaba trabajando en ese momento. Sin embargo, mi investigación se adaptó más a lo que un webmaster puede ver después de cuando un usuario hace clic en el botón +1. La conclusión a la que llegué fue esta:
"Finalmente, el informe de audiencia muestra que se agregan datos geográficos y información demográfica sobre los usuarios de Google que tienen +1 en sus páginas. Para proteger la privacidad , solo mostraremos información de la audiencia cuando un número significativo de usuarios tiene + 1'd páginas desde su sitio ".
La información disponible para un webmaster del informe de audiencia se puede ver aquí: enlace
No oficialmente, pero hubo un error que solo se solucionó recientemente como se documenta en enlace que podría tener acceso a Google+ registrado actualmente info.
Creo que es seguro asumir que habrá otras vulnerabilidades presentes ahora o en el futuro, al igual que hubo otra en el pasado que también se ha corregido y no olvide que hay click-jacking también cuando no creas que estás interactuando con un elemento de una red social pero eres como interactúas con el sitio web.
Permanezco desconectado a menos que requiera un sitio.
No, no pueden obtener su nombre a través de la API de Google+.
El widget interactúa con las cookies almacenadas en su PC (o sesión de navegador) para iniciar sesión automáticamente con los servicios de Google (que se ejecutan en Google, y no en el sitio web), cualquier información de google enviada a la API en el sitio web puede ser se ha detectado, pero es muy probable que esté cifrado (junto con los detalles de inicio de sesión que la API utiliza en su cookie para iniciar sesión automáticamente en el servicio de google +).
Puede detectar lo mismo con los widgets de Twitter y Facebook, algunos widgets de Facebook muestran a qué amigos les gustó la página del sitio web / página web que visitan actualmente, utilizan casi el mismo método.
Creo que encontrarás esto muy interesante de leer: enlace
Mensaje principal: Lo que me di cuenta fue que lo que el abuso de CSP me permitió hacer fue permitirme hacer afirmaciones sobre la redirección y usar los resultados de esas afirmaciones para determinar la información sobre el usuario. (...) Algo como esto podría usarse fácilmente para averiguar quién era el usuario que visitaba su sitio web con solo un pequeño trabajo de investigación, pero además información sobre sus hábitos de navegación y los poderes que tenían en esos sitios. (..) Esto me preocupó aún más, por lo que informé sobre la vulnerabilidad a Internet y abrí otro error con Google, esta vez con respecto a la divulgación del inicio de sesión actual en Google Plus .
(Nota: este no es mi artículo, solo copio las partes relevantes para usted)