Сайт ulogin что это история активности вконтакте
uLogin — это инструмент, который позволяет пользователям получить единый доступ к различным Интернет-сервисам без необходимости повторной регистрации, а владельцам сайтов —получить дополнительный приток клиентов из социальных сетей и популярных порталов (Google, Яндекс, Mail.ru, ВКонтакте, Facebook и др.)
Преимущества для пользователей:
Возможность входа на сайты или блоги, поддерживающие технологию uLogin, без дополнительной регистрации.
Конфиденциальность ваших данных и безопасный доступ к информации в ваших учетных записях.
Возможность выбрать наиболее подходящий для вас способ идентификации (через популярные социальные сети и порталы).
Преимущества для владельцев сайтов:
Интуитивно понятный пользовательский интерфейс.
Легкость и быстрота установки, настройки и управления виджетом uLogin.
Поддержка различных способов авторизации пользователей.
Дополнительный приток клиентов из популярных социальных сетей и порталов.
Единое API получения данных пользователя (все данные предоставляются в едином формате).
Дополнительная возможность получения адреса электронной почты, номера телефона и другой информации о пользователе.
Мы постоянно работаем над совершенствованием нашей системы и расширением ее функциональности. Работая с нами, вы получите надежного партнера, который поможет вам повысить уровень сервиса вашего Ресурса и привлечь новых пользователей.
Авторизация через ulogin или как можно попасть в просак
Все чаще в технических заданиях и на сайтах можно наблюдать возможность войти через ту или иную социальную сеть. Иногда целесообразнее использовать готовый сервис, чем создавать отдельно приложения для каждой социальной сети. Прекрасным, по моему скромному мнению, вариантом является сервис ulogin, он позволяет быстро интегрировать нужное количество социальных сетей, и пока нареканий в работе не вызывал. Но, как оказалось, не все так гладко.
По какому полю вы связываете человека пришедшего через социальную сеть с пользователем зарегистрированным у вас на сайте? Я думаю большинство с первой попытки ухватится за поле которое в 95% является уникальным — Email. uLogin позволяет получить email на который регистрировался аккаунт в социальной сети, и в большинстве случаев пользователь привязывает все аккаунты к одной почте (речь идет о посетителях handmade порталов, разного рода магазинчиков с несколькими тысячами товаров типа детское белье и т.д.). Более того, выделяя среди социальных сетей тройку лидеров приходится сталкиваться с: Вконтакте, Facebook, (Twitter/Google+). И вот тут начинается история.
Социальная сеть Вконтакте никогда не отдаст вам email пользователя, также его не вернет и uLogin. Хотя можно указать сбор email принудительно, в этом случае после авторизации через социальную сеть uLogin запросит email пользователя самостоятельно, для того чтобы потому бережно отдать вам JSON с данными которые вы хотели получить от него. Проблема тут состоит в том, что в это поле можно вбить любой валидный email. То есть СОВСЕМ ЛЮБОЙ.
Таким образом, если авторизация через социальную сеть происходит по сути по полю email, некоему Васе для того чтобы войти на сайт под аккаунтом Пети, достаточно авторизоваться через Вконтакте и указать его email, который может не являться тайной и допустим выводиться в профиле.
Защитой от этой логической дыры является схема в рамках которой регистрация возможна только через те социальные сети которые делятся с нами email’ом. Далее личном кабинете пользователю предлагается привязать аккаунт к социальной сети — авторизоваться через тот же uLogin тем самым привязать аккаунт пользователя не по email, а по полю identity, т.е. идентификатору конкретной социальной сети. Бонусом может служить как иконка с ссылкой на профиль в социальной сети, так и любые поощрения на сайте и как сверх бонус собственно сама возможность авторизации.
При наличии таких полей остается только контролировать уникальность этих данных в базе, чтобы попытки привязать один и тот же аккаунт к разным профилям на сайте пресекался на корню.
Сервис uLogin отправляет данные из форм (почта, телефон) на сторонний сайт и молчит об этом
Привет сообщество. Это моя первая запись, пусть она и не совсем длинная — но важный посыл в заголовке.
Есть такой сервис для авторизации через соцсети — uLogin. Разработчики выпустили много бесплатных плагинов под различные CMS и вот он — сыр в мышеловке.
Видно дела пошли не очень и пользователи начали замечать, что сервис подгружает странные скрипты при работе модуля. Я проводя аудит своего сайта — заметил что грузится counter.yadro.ru несколько раз. В общей сложности, при загрузке страницы, они загружали 18 ресурсов (js, css, прочие запросы) — это много для моего проекта у которого всего 47 запросов. А их сервис добавляет еще 18, включая запросы к сторонним сайтам.
Вот их ответ в декабре 17-го:
Там есть запросы на наш счетчик ли.ру и на наш сайт. Партнерские запросы были ранее, но мы их окончательно убрали несколько месяцев назад.
— но они слукавили — запрос к x01.aidata.io они отправляли:
И на ресурсе не последовало ответа никому.
Так что это такое этот aidata.io? Это платформа управления данными для программного маркетинга. Так себя этот сервис называет. Но зачем он мне? Да, я знаю: что виджеты социальных сетей, кнопки поделиться, счетчики поисковых систем — все они с нашего сайта собирают данные. Но они отправляют данные к себе. Они используют свои, проверенные скрипты — третья сторона не вмешается в работу скрипта. А uLogin подключает третью сторону и мне, как владельцу сайта не говорит об этом. Это честно? Я думаю нет. Против ли я? Конечно против.
С 25 мая 2018 года вступил в силу общий регламент по защите персональных данных Европейского союза: Data Protection Regulation (GDPR) и в РФ, ранее — №152-ФЗ «О персональных данных» — а uLogin не уведомляет моих посетителей сайта. Я и сам не знал что данные собираются — как я ответил бы на этот вопрос если ко мне постучались в дверь? Я не контролировал свой сайт.
Поверить им стоило, что они окончательно убрали трекинг? Я поверил.
24 января 2018-го я обратил внимание на ошибки в консоли сайта:
и тут же забил тревогу. Списался по почте с командой uLogin — ответ:
Это скрипт-трекер от нашего партнера.
Вот это поворот! Чуть больше месяца назад они меня заверили что убрали подобное.
А между тем в интернете, на площадке reformal, происходило движение в теме. Я не знаю правил публикаций — позволяют вставить ссылку? Но я рискну: тема от 28 декабря 2017-го
Там и я написал и выложил для светлых голов содержимое подключаемого скрипта.
В теме отвечал Иван Пшеницын — и он очень удивлялся — «как же так может происходить». В конце марта он последний раз появился в теме и бросил своих клиентов, что доверили им свои сайты — на произвол судьбы.
И даже в мае 2018-го в тему поступали новые комментаторы, в конце апреля пользователь с ником Maxim, опубликовал видео — как скрипт из формы на сайте, на совсем сторонний сайт отправляет пользовательские персональные данные (номер телефона).
Месяц назад тему подняли в официальном форуме поддержки вордпресс плагина — два человека пожаловались на утечку. Официального ответа там не было.
Стоит ли доверять команде сервиса, которые утверждали в почтовой переписке, что они убрали партнерские запросы, а продолжают подсовывать «троянских коней» на наши сайты? Если они дают возможность третьей стороне грузить бесконтрольно на наши сайты любой js, то что они захотят (эти третьи лица) — правильно ли это? Безопасно ли это? Законно ли это?
Эту запись я публикую — т.к. от команды сервиса uLogin не получил должного ответа.
p.s. при установке WordPress плагина от uLogin не требуется регистрация на их сервисе. А это значит что пользовательское соглашение, что они разместили на своем сайте — не имеет юридической силы.
Если у вас есть идеи и мысли по поводу данного продукта и сложившейся ситуации — добро пожаловать в комментарии.
upd. 2018-06-05 — Вчера я написал письмо службе безопасности вордпресс. Они отреагировали (но к сожалению ответ мне по почте пока не прислали) — плагин в официальном репозитории вордпресса недоступен для скачивания. Посетителя встречает такая надпись:
Или разбираются в вопросе, или дали время команде uLogin на устранение такого поведения.
uLogin, как средство накрутки лайков клиентов
Будет немного сумбурно, но все же по делу.
Рассказ пойдет о красном квадрате малевича, о uLogin и о сервисе социальной активности для набора лайков.
Все началось с того, что ковыряясь в одном из своих проектов, наткнулся на красный квадрат Малевича — кодовое название накруточного слоя для лайков в соц сети, выглядело примерно так:
Поняв, что дело неладное, т.к. таких скриптов не ставил, полез искать шалуна.
Для начала набрел на некий скрипт, лежащий по адресу:
w.uptolike.com/widgets/v1/extra.js?rnd=903182 (далее Скрипт Uptolike)
Конечно, посетовав на нашего СЕО-специалиста, полез в админ-панель и в код сайта с поиском когда и кто успел прописать данный скрипт. Как Вы и предполагаете — ничего не нашел. Дальше — проще. Нужно найти кто же нам подсовывает этот скрипт. Искать долго не пришлось — это многими любимый uLogin:
Теперь пойдем в тех особенности.
Скрипт Uptolike не всегда выдает себя. Вот здоровый скрипт, показавший себя сразу же при пробе повторить эксперимент с накрутками:
Вот скрипт курильщика, который случайно попался на глаза от Uptolike:
Ссылки на ресурсы можно взять из кода. И да, это пример того, как современные «особенности» используются в современном «СЕО».
Авторизация в Laravel, через социальные сети (Ulogin). Просто, гибко и эффективно
Привет, друзья. Хочу сегодня поделится своим взглядом на то, как можно сделать простую и эффективную авторизацию/регистрацию пользователей через любую социальную сеть, используя плагин Ulogin. Почему через этот плагин? Потому что он может избавить разработчика от кучи головной боли, которая возникнет при синхронизации с каждой социальной сетью в отдельности. Плюс вы сможете получить данные из плагина в едином красивом формате.
Я исхожу из того, что читатель разбирается во фреймворке Laravel 5.3 Поэтому я не буду разжевывать простые вещи. Итак, с чего начать? Для начала нам нужно на странице регистрации и авторизации подключить JS плагин. Лично я делаю это через создание отдельного шаблона auth/social.blade.php В который помещаю следующий простой код:
Немного объяснений к коду. urlencode используем для кодирования строки к нормальному для передачи по http виду. На redirect_uri будет приходить ответ от сервера Ulogin со статусами и данными. В поле fields мы указываем, какие данные нам нужно получить из социальной сети. В конце шаблона я подключаю сам плагин. Обратите внимание, что здесь происходит вставка кода в блок ‘js’, который должен быть прописан в главном шаблоне: yield(‘js’)
Да, один момент. Если вы работаете по SSL, то вместо ‘http://’ указывайте ‘https://’. Тогда не будет предупреждения о небезопасной передаче данных.
Когда шаблон готов, то мы его просто подключаем на странице регистрации и залогинивания в том месте, где нам нужно, просто вставив в шаблоне одну строчку: include(‘auth.social’)
Все, теперь на странице регистрации появится симпатичный виджет с выбором социальных сетей. При клике на кнопку социальной сети, откроется новое окно для авторизации в конкретной социальной сети (если вы не авторизованы, конечно).
Теперь нам нужно написать бэкенд часть. А именно создать контроллер и роут. Роут будет получать ответ от сервера Ulogin и передавать его в наш контроллер.
Создаем контроллер с названием UloginController.php и прописываем в нем публичный метод login в который передаем запрос.
Создаем роут: Route::post(‘ulogin’, ‘UloginController@login’);
Теперь, когда сервер вернет ответ на ‘/ulogin’, токен безопасности будет проигнорирован и ошибки не произойдет.
Теперь напишем сам контроллер:
Как видно из кода, мы вначале проверяем, есть ли в нашей базе пользователь с таким email адресом. Если есть, то мы его сразу залогиниваем. Если нет, то мы вначале создаем пользователя в базе, а потом залогиниваем. Вероятность того, что кто-то создаст аккаунт в социальной сети с email адресом того, кто на вашем сайте уже зарегистрирован, для того, чтобы войти в чужой аккаунт, практически сведена к нулю, так как социальные сети требуют проверки указанного адреса.
Какие поля в базе данных видно из кода. Для вывода текстового сообщения я использую функцию перевода trans(), что позволяет мне использовать любые языки на сайте.
Вот и все. Просто, эффективно и очень гибко. В следующий раз, если будет время, я напишу о том, как можно автоматически залогинить/зарегистрировать пользователя, когда гость ставит лайк посту или жмет на кнопку создания комментария на вашем сайте. Там все посложнее, но тоже гибко и эффективно.