Ответы на часто задаваемые вопросы

Вопрос: Каким образом вы авторизуете меня через другой сайт?

Ответ: Авторизация происходит по схеме OpenID (более подробно, смотрете в этой статье). В таком типе авторизации выступает так называемый провайдер авторизации (один из сайтов где у вас есть учетная запись). Наш сайт переадресовывает вас на сайт-провайдер, где вы (как обычно) проходите авторизацию. Сайт-провайдер — проверяет правильность ввода логина и пароля исходя из своей базы данных. После этого, он возвращает нашему сайту ответ в виде статуса авторизации: проедена или нет. Помимо этого, он дает уникальный идентификатор, по которому на нашем сайте и различаются разные пользователи. Таким образом, на нашем сайте вообще нет авторизации и пароля: мы доверяем сайту-провайдеру, который подтверждает или нет вашу авторизацию

Вопрос: Вы узнаете мой логин и пароль на сайте провайдере?

Ответ: Конечно нет! Ни один сайт никогда не передает сторонним приложениям такую информацию как логин или пароль. Сайт провайдер — возвращает только идентификатор и некоторые текстовые поля, которые вы разрешили делать публичными (обычно это имя и фамилия, дата рождения и ваш пол). Даже такая информация как e-mail – не передается при такой авторизации, так как считается секретной (хотя, узнать email пользователя обычно не трудно). Важно понимать, что в такой авторизации — гарантом авторизации и провайдером данных, является сайт провайдера. И такие данные как логин и пароль — вводятся только на сайте провайдера и никому более не доступны. То есть если предположить что передается пароль, то это бы означало что сам провайдер, такой как Google, передает пароль :) Разумеется, такого никогда не происходит и узнать ваш пароль никак нельзя. Вообще, такой вопрос возникает настолько часто, что все провайдеры OpenID-авторизации размещают FAQ на данную тему. Например, вы можете прочитать FAQ Яндекса на эту тему.

Вопрос: Насколько это безопасно?

Ответ: Безопасность гарантируется сайтом провайдером. То есть, если вы верите что авторизация в Google безопасна, то же самое можно сказать и о нашем сайте, просто потому, что у нас отсутствует такой этап как проверка имени и пароля. Вместо этого, мы получаем подтверждение от провайдера, который идентификатор пользователя. Взломать такую систему — равносильно взлому Google или другого OpenID-провайдера.

Даже если предположить такой маловероятный факт что был взломан наш сервер — злоумышленик не получит никакой полезной информации, кроме списка идентификаторов пользователей. Использовать такой идентификатор для авторизации на сайте провайдере невозможно: так как нужен логин и пароль. Его также нельзя использовать для доступа к данным на наш сайт, т. к. скрипт авторизации нашего сайта — доверяет данным пришедшим только из API сайта провайдера. То есть, такая информация как ваш UID – не является секретной. Да, по этому UID проверяется кто есть кто, но только при определенном контексте получения UID: в скрипте авторизации, который берет данные из API провайдера.

Вопрос: Вы контактируете с сайтом провайдером напрямую или используете вэб-сервис?

Ответ: Мы используем вэб-сервис Loginza.ru.

Вопрос: На ваш сайт надо заходить с одного и того же провайдера или это не имеет значения?

Ответ: Это имеет значение. Так как каждый провайдер возвращает уникальный UID, то заход с разных провайдеров — равносилен новому пользователю для нашей системы. То есть, если вы зайдете сначала через Google, а в следующий раз через Mail.ru – то для админки нашего сайта, вы будете восприниматься как два разных пользователя. Это можно использовать если вам, например, потребуется несколько аккаунтов у нас: достаточно сменить провайдера авторизации и вы войдете как новый пользователь. Разумеется, чтобы получить доступ к данным из предыдущей сессии — вам нужно заходить с одного и того же провайдера.

Если вам потребовалось несколько аккаунтов для управления разным жильем (например, вы сдаете свое жилье и хотите сдавать жилье знакомых) ознакомьтесь с разделом «Основные данные»: там описана такая опция как «Чужое жилье», позволяющая параллельно со своим, сдавать жилье знакомых, указывая их контактные данные (то есть, режим «Помощник» при котором вы только размещаете жилье в Интернет, но не участвуете в его сдаче).