---

Jeg skulle selvfølgelig se på spotify, og en ting, der rystede mig, var at
når jeg ville oprette min konto, så var felterne allerede udfyldt fra
facebook!!

Jeg var ganske vist logget ind i facebook i et andet vindue, men hvordan får
spotify adgang til mine oplysninger uden at spørge mig?
Der stod fulde navn, email og fødselsdato.

Jeg kunne da godt tænke mig at kunne se folks facebook-profil uden at spørge
dem, når de går ind på vores webshop eller chatsite...

Leif

---

On 2011-10-14 14:09:37 +0000, Leif Neland said:

> Jeg skulle selvfølgelig se på spotify, og en ting, der rystede mig, var
> at når jeg ville oprette min konto, så var felterne allerede udfyldt
> fra facebook!!
>
> Jeg var ganske vist logget ind i facebook i et andet vindue, men
> hvordan får spotify adgang til mine oplysninger uden at spørge mig?
> Der stod fulde navn, email og fødselsdato.
>
> Jeg kunne da godt tænke mig at kunne se folks facebook-profil uden at
> spørge dem, når de går ind på vores webshop eller chatsite...
>
> Leif

Der er en blog om det her:
http://www.michaelrobertson.com/archive.php?minute_id=354

Spotify og Facebook har en aftale.

--
Venlig hilsen
Kurt Brixen

---

Kurt Brixen wrote:

> Der er en blog om det her:
> http://www.michaelrobertson.com/archive.php?minute_id=354
>
> Spotify og Facebook har en aftale.

Interessant, det forklarer så også hvorfor man ikke kan bruge Spotify
uden Facebook.

--
Jesper Lund

---

Leif Neland skrev

> Jeg skulle selvfølgelig se på spotify, og en ting, der rystede mig, var at
> når jeg ville oprette min konto, så var felterne allerede udfyldt fra
> facebook!!
>
> Jeg var ganske vist logget ind i facebook i et andet vindue, men hvordan
> får spotify adgang til mine oplysninger uden at spørge mig?
> Der stod fulde navn, email og fødselsdato.
>
> Jeg kunne da godt tænke mig at kunne se folks facebook-profil uden at
> spørge dem, når de går ind på vores webshop eller chatsite...

Ved højreklik på oprettelsesformularen og derefter "Egenskaber" kan man se,
at formularen befinder sig på denne adresse:
https://www.facebook.com/plugins/registration.php?client_id=174829003346&redirect_uri=https://www.spotify.com/dk/signup/open/&fb_only=true&fields=[{'name':'name'},{'name':'email'},{'name':'gender'},{'name':'birthday'},{'name':'country','description':'','type':'hidden','default':'DK'},{'name':'iagree','description':'I
agree with the Spotify end user
agreement*','type':'checkbox','default':'true'},]

D.v.s. de felter, der allerede er udfyldt, ligger teknisk set på Facebook og
ikke på Spotify. Jeg tror ikke, at Spotify kan se oplysningerne, bare ved at
du går ind på oprettelses-siden - derimod vil Facebook kunne se, at du har
været på Spotifys oprettelses-side.

Spotify vil selvfølgelig formentlig få oplysningerne i det øjeblik, du rent
faktisk opretter en konto hos dem, men det er jo en anden historie.

Mvh. Ulrik.

---

Ulrik Brinck wrote:

> Ved højreklik på oprettelsesformularen og derefter "Egenskaber" kan man
> se, at formularen befinder sig på denne adresse:
> https://www.facebook.com/plugins/registration.php?
[klip]
> D.v.s. de felter, der allerede er udfyldt, ligger teknisk set på
> Facebook og ikke på Spotify. Jeg tror ikke, at Spotify kan se
> oplysningerne, bare ved at du går ind på oprettelses-siden - derimod vil
> Facebook kunne se, at du har været på Spotifys oprettelses-side.

Hvilken sikkerhedsmekanisme hos Facebook skulle forhindre Spotify i at
simulere dit accepter klik og få oplysningerne?

--
Jesper Lund

---

On 14 Okt., 16:09, "Leif Neland" <l...@neland.dk> wrote:
> Jeg skulle selvf lgelig se p spotify, og en ting, der rystede mig, var at
> n r jeg ville oprette min konto, s var felterne allerede udfyldt fra
> facebook!!
>
> Jeg var ganske vist logget ind i facebook i et andet vindue, men hvordan f r
> spotify adgang til mine oplysninger uden at sp rge mig?
> Der stod fulde navn, email og f dselsdato.
>
> Jeg kunne da godt t nke mig at kunne se folks facebook-profil uden at sp rge
> dem, n r de g r ind p vores webshop eller chatsite...
>
> Leif

Det er muligt, da det er den samme browser du logger ind med både på
Facebook og Spotify. Når du er logget ind på Facebook lægges der en
cookie i browseren som fortæller browseren er du nu er logget ind på
Facebook. Herfra kan Spotify så få direkte adgang til dine oplysninger
på Facebook.

Men det gælder kun hvis du benytter Spotify i den samme browser som
dén du er logget ind med på Facebook.

---

Den 17-10-2011 06:45, Benjamin Christensen skrev:
> Det er muligt, da det er den samme browser du logger ind med både på
> Facebook og Spotify. Når du er logget ind på Facebook lægges der en
> cookie i browseren som fortæller browseren er du nu er logget ind på
> Facebook. Herfra kan Spotify så få direkte adgang til dine oplysninger
> på Facebook.
>
> Men det gælder kun hvis du benytter Spotify i den samme browser som
> dén du er logget ind med på Facebook.

Det fungere STADIG sådan at forsprøgslen sendes til Facebook, som beder
dig bekræfte at Spotify får adgang, hvorefter spotify kan hente de data
du giver adgang til. Det var i hvert fald den oplevelse jeg havde.

Spotify kan normalvis heller ikke hente noget ud af en cookie, som
Facebook sætter, med mindre de sætter den med .com som cookie domæne...

- Chano Andersen

---

Chano Andersen wrote:

> Det fungere STADIG sådan at forsprøgslen sendes til Facebook, som beder
> dig bekræfte at Spotify får adgang, hvorefter spotify kan hente de data
> du giver adgang til. Det var i hvert fald den oplevelse jeg havde.
>
> Spotify kan normalvis heller ikke hente noget ud af en cookie, som
> Facebook sætter, med mindre de sætter den med .com som cookie domæne...

Vi er enige om at Spotify ikke kan læse din Facebook cookie, men hvad er
sikkerhedsmekanismen som forhindrer Spotify i f.eks. selv at "simulere"
dit accepter klik og få oplysningerne hos Facebook?

--
Jesper Lund

---

Den 17-10-2011 20:45, Jesper Lund skrev:
> Chano Andersen wrote:
>
>> Det fungere STADIG sådan at forsprøgslen sendes til Facebook, som beder
>> dig bekræfte at Spotify får adgang, hvorefter spotify kan hente de data
>> du giver adgang til. Det var i hvert fald den oplevelse jeg havde.
>>
>> Spotify kan normalvis heller ikke hente noget ud af en cookie, som
>> Facebook sætter, med mindre de sætter den med .com som cookie domæne...
>
> Vi er enige om at Spotify ikke kan læse din Facebook cookie, men hvad er
> sikkerhedsmekanismen som forhindrer Spotify i f.eks. selv at "simulere"
> dit accepter klik og få oplysningerne hos Facebook?
>

At det er et HTTP Post request, og at Facebook sætter en session der
kontrollere at der ikke crosspostes.

- Chano Andersen

---

Chano Andersen wrote:

> At det er et HTTP Post request, og at Facebook sætter en session der
> kontrollere at der ikke crosspostes.

Hvad forhindrer angriberen (her: Spofity) i at injecte noget javascript
som POST'er for dig?

--
Jesper Lund

---

Den 20-10-2011 23:25, Jesper Lund skrev:
> Chano Andersen wrote:
>
>> At det er et HTTP Post request, og at Facebook sætter en session der
>> kontrollere at der ikke crosspostes.
>
> Hvad forhindrer angriberen (her: Spofity) i at injecte noget javascript
> som POST'er for dig?
>

At siden hostes og genereres udelukkende på en facebook kontrolleret
server, hvor ingen af de parametre Spotify måtte medsende, giver
anledning til at vise HTML i browseren.

- Chano Andersen