Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Google brengt One Tap-api uit voor mobiel inloggen met enkele klik

Google heeft een nieuwe reeks aan api's uitgebracht voor het inloggen via Google-diensten. Ontwikkelaars kunnen gebruikers laten inloggen via One Tap, een versimpelde versie van Sign in with Google.

De nieuwe sdk heet Identity Services, en bestaat uit verschillende api's voor inloggen op externe websites. Identity Services bevat onder andere Sign in with Google, de inlogknop waarmee gebruikers op externe sites zoals Reddit kunnen inloggen met hun Google-account. Aan die knop verandert qua functionaliteit verder niks, maar het uiterlijk verandert wel. In de knop staat de naam, het e-mailadres en de profielfoto van de gebruiker.

Nieuw in de sdk is One Tap. Het bedrijf kondigde dat vorig jaar aan als bèta, maar de feature wordt nu breed beschikbaar. One Tap lijkt op Sign in with Google, maar is vooral bedoeld voor mobiele sites en apps. Het gaat om een prompt die over het scherm heen komt zodat gebruikers niet worden omgeleid naar een externe pagina. Zowel Sign in with Google als One Tap maken gebruik van tokens zodat gebruikers kunnen inloggen zonder eerst hun wachtwoord nog op te hoeven geven.

Volgens Google werkt One Tap nu al met websites zoals Pinterest en Reddit. De feature is beschikbaar op Chrome voor Android, Windows, Linux en macOS. Op Safari in iOS werkt het niet. Google zegt dat dat is vanwege de Intelligent Tracking Prevention van Apple in de nieuwe versies van Apples besturingssysteem.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

05-08-2021 • 07:43

28 Linkedin

Reacties (28)

Wijzig sortering
Dus dankzij het voorkomen van tracking werkt dit niet bij ‘n Apple.

Ben ik blij om.
Let wel, dat betekent niet dat dit een vorm van tracking is. Zonder in een technische uitleg te gaan: Wat Apple (in mijn ogen grotendeels correct[1]) heeft gedaan is een heel laag snelheidslimiet in te stellen - laten we voor de grap zeggen 80 km/u op de snelweg - wat extreem veilig is, maar ook veel zaken onmogelijk maakt die wel compleet positief en prima zijn (laten we zeggen dat de ambulance ook max 80 km/u mag). Praktisch gezien zijn web apps gewoon extreem gesandboxed tot het punt dat ze niet eens met elkaar (normaal) kunnen communiceren. En trouwens, denk niet dat dat een geval is 'for your safety', want apps die je wel kunt installeren kunnen wel tussen elkaar communiceren, dus denk dat Apple's motivatie meer is 'handicap the web so we can earn more on the store'. Maar goed, uiteindelijk is dit soort sandboxing wel gewoon positief, alhoewel Apple wel wat meer had moeten kijken naar 'welke APIs moeten we designen om het hele web niet een handicap te geven'.

[1] Alhoewel zoals altijd: Absoluut bizar dat ze andere browsers niet toestaan.
En trouwens, denk niet dat dat een geval is 'for your safety', want apps die je wel kunt installeren kunnen wel tussen elkaar communiceren, dus denk dat Apple's motivatie meer is 'handicap the web so we can earn more on the store'.
Nou nee hoor, apps kunnen niet zomaar met elkaar communiceren. Dat kan alleen als ze onderdeel zijn van een app group. Dan heb je ook een gedeelde opslagruimte etc. Maar dit kan alleen voor apps van één ontwikkelaar. Je ziet bijvoorbeeld dat je in alle Microsoft- en Google-apps bent ingelogd zodra je er in één inlogt.

Wat niet kan is communiceren met een andere app op deze manier. Een one-tap sign-in gaat dus niet werken via Google. Wat wel zou kunnen is een 2-tap signin: Je drukt op de knop dat je wilt inloggen met Google, die springt naar een Google pagina om het te bevestigen en daarna spring je terug naar de oorspronkelijke pagina. Ditzelfde zou ook met apps moeten gebeuren dan: je springt naar de Google app, bevestigd daar en komt weer terug. (Of je doet het via een webpagina of whatever).

Dus op app-niveau op iOS is het beter noch slechter dan het web wat dit betreft.

[Reactie gewijzigd door xFeverr op 5 augustus 2021 09:40]

Zo zal Facebook en co ook zo worden. Maakt alles een stuk veiliger op Apple devices. :9
klopt, je hebt tracking van Apple zelf
Dat is niet erg. Daar verdienen ze geen geld mee door t te verkopen aan derden.
Eerlijk gezegd gebruik ik eigenlijk nooit de opties om in te loggen met een account van Google/Apple of wie dan ook bij een externe partij. Ik vertrouw een externe partij gewoon nooit, je weet dan ook niet exact wat zij van je account kunnen zien.
Meestal wordt daar OAuth 2.0 voor gebruikt daar zit altijd een Scope in gedefinieerd. Die Scope krijg je altijd te zien tijdens de login procedure. De externe partij krijgt niet meer rechten of kan niet meer zien dan wat in de scope staat.

Sign in with Google gebruikt ook OAuth.
De Google OAuth Scopes: (elke grotere partij heeft zo een lijst) zo kun je granulair regelen welke rechten een externe website krijgt.
https://developers.google...y/protocols/oauth2/scopes

[Reactie gewijzigd door kr4t0s op 5 augustus 2021 10:51]

Dat ze alleen al zien welke apps je gebruikt en wanneer is een goudmijn voor profiling.
Als in? Google weet toch welke apps op je telefoon staan en wanneer je wat doet. Maar je logt bijvoorbeeld in bij booking.com met je Google gegevens. De Identity Provider(in dit geval Google) kan verder verder niet zien wat jij op booking.com doet of boekt. (ja wel als je gmail gebruikt en Google daar de info uit scrapt, maar staat los van de Oauth)

Google is maar voorbeeld er zijn vele andere Identity Providers. Je kunt ook zelf een OAuth2 server opzetten alleen is het nut redelijk beperkt. Zakelijk is Okta een bekende IdP, wat heel fijn werkt, snel en vooral veilig.
Alleen de meta informatie is al meer dan genoeg geld waard voor profiling: denk aan het tijdstip van inloggen, je IP adres, referrer, gebruikte browser, etc. etc..

Je kunt er vrij zeker van zijn dat Google als 'identity provider' tijdens het inloggen deze gegevens wel even registreert...
Denk dat PV85 de term "apps" bedoelde in de zin van programma's/toepassingen i.p.v. specifiek voor d'n smartphone. Dus ook webapps.

Anyways, er is meer dan alleen je telefoon hè. Als ik in Firefox op mijn Mac op Reddit zit en ik log in met Google, dan is dat de enige plek waar ze data kunnen bietsen. Weten ze toch weer dat ik op Reddit zat, terwijl ik dan verder geen enkel """product""" van Google heb gebruikt (ads etc blokkeer ik allemaal). En dat willen ze nou juist, ze maken het inloggen via Google zo makkelijk dat de normale methodes zoals gewoon username/password teveel moeite worden voor gebruikers. Hoe achterlijk wil je het hebben.

[Reactie gewijzigd door McBacon op 6 augustus 2021 14:31]

Dat is wat ik eerder zei, je ben natuurlijk vrij een andere IdP te gebruiken. Nam Google maar als voorbeeld OAuth is een open standaard, er zijn vele alternatieve IdP's. Het is net veel beter voor je privacy en beveiliging, al je gegevens staan alleen bij de IdP. Je kunt ook zien welke partij wat over jou kan zien en je kunt die rechten ook weer intrekken.

Google weet natuurlijk het moment van inloggen. Maar je login token met Reddit is vele maanden geldig dus al die keren erna dat je naar Reddit gaat weet Google niet. Volgens mij kan Google op vele andere manieren veel gemakkelijker en meer info krijgen dan via OAuth.

[Reactie gewijzigd door kr4t0s op 6 augustus 2021 23:21]

Volgens mij kan Google op vele andere manieren veel gemakkelijker en meer info krijgen dan via OAuth
Ja dat sowieso. :D Maar het ging hier specifiek om de functie van inloggen via Google. Zelfs als je op een site zit onder Google Analytics of andere troep dan kunnen ze alsnog deels tracken wat je doet, en dat in ruil voor een klein beetje gemak. Ze kunnen vervolgens je IP + browser fingerprint weer aan data koppelen van een site die wél Analytics gebruikt, dan hebben ze toch weer meer informatie voor je profiel. Als er een site is die alleen logins via Facebook/Google toestaat dan ben ik heel snel weg. ;]
Ik ook niet. Ik gebruik Google services voor zover nodig/handig maar meer ook niet. Mijn wachtwoorden en logins aan Google geven gaat me wat te ver, ik heb overal aparte logins voor, mooi opgeslagen in BitWarden. Werkt prima voor mij.
Cool, als we dit zouden hebben op basis van web3 dan zou het wel een mooie oplossing zijn
Een basis die nog meer afhankelijkheid van Google, en daardoor nog meer macht voor ze.
En daarnaast, we kennen allemaal Google. Hoelang blijven zij dit ondersteunen? Het valt mij te vaak op bij hen dat ze na verloop van tijd de stekker eruit trekken.
Google krijgt hierdoor gratis statistieken mbt bezoekers en geregistreerde gebruikers, zoiets blijven ze heus wel ondersteunen.
Tenzij niet genoeg mensen en of website het gebruiken wat hun betreft. Van Google+ en andere gecancellde projecten kregen ze vast ook wat statistieken binnen, maar toch zijn die projecten gestopt.
En producten als panoramio die massaal werden gebruikt moest de stekker eruit. Geen verdienmodel. Eeuwig zonde die verloren data. Wat was t fijn on een plek te verkennen met een kaart met alle fotos eroo. Heel makkelijk om op je route tijdens vakantie leuke plekken te ontdekken
dat is eigen keuze
van wie, de gebruiker of website beheerder? Je kan als rotsje in de branding niet veel doen tegen de zee (Google).
Hopelijk voldoet het ook aan de AVG
Is dat eigelijk wel echt te achterhalen? Ik kan me voorstellen dat Google veel van de achterliggende techniek en methodiek niet vrijgeeft of wat hun precies met de data doen. Of er moet een audit ofzo komen.
Dan mag het niet in EU, of ze riskeren weer een miljoenen / miljarden boete. Lijkt me dat de advocaten van Google dit wel goed zullen documenteren.
Yep ze moeten precies specificeren waar welke persoonlijke herleidbare informatie opgeslagen wordt.
Zowel microsoft, facebook en google bieden dit soort services. En ze zijn er nogal genegen aan om het 'zo makkelijk mogelijk' te maken. Daarmee heeft dit voor mij een beetje een slechte smaak, zeker van deze leveranciers.

Nu zijn er al langer vergelijkbare initiatieven, van verschillende leveranciers en met verschillende gradaties van 'free'. Ook daar heb ik uiteindelijk het liefst mijn eigen login voor iedere dienst. En mijn eigen wachtwoord-kluis met al-dan-niet opslaan van wachtwoorden en automatisch invullen.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True