您的位置: 首頁 >互聯(lián)網(wǎng) >

Google推出新措施以防止OAuth濫用

2022-09-01 15:05:20 編輯:盧國巧 來源:
導(dǎo)讀 Google推出了一些新措施,旨在防止流氓第三方軟件在Gmail,云端硬盤和其他Google云應(yīng)用程序的用戶之間傳播。立即生效,任何需要開放授權(quán)(OA...

Google推出了一些新措施,旨在防止流氓第三方軟件在Gmail,云端硬盤和其他Google云應(yīng)用程序的用戶之間傳播。立即生效,任何需要開放授權(quán)(OAuth)才能訪問Google應(yīng)用中的用戶數(shù)據(jù)的第三方應(yīng)用都將受到每日新用戶總數(shù)的限制。該上限將限制可以授權(quán)特定應(yīng)用訪問Google應(yīng)用中的用戶數(shù)據(jù)的新用戶數(shù)量。Google還限制了特定應(yīng)用程序可以多快地獲得新用戶。

Google副產(chǎn)品經(jīng)理Luke Camery在6月4日的博客中解釋說:“這些增強的保護措施將有助于保護我們的用戶,并創(chuàng)建OAuth生態(tài)系統(tǒng),使開發(fā)人員可以在更安全的環(huán)境中繼續(xù)發(fā)展壯大。

OAuth是基于令牌的標準,用于在不同應(yīng)用程序之間實現(xiàn)有限的受保護信息共享。它使用戶可以授權(quán)第三方應(yīng)用程序訪問其數(shù)據(jù),而無需任何單獨的身份驗證。

例如,OAuth對于用戶使用其Gmail或Facebook登錄憑據(jù)登錄第三方網(wǎng)站的能力至關(guān)重要。同樣,OAuth允許用戶允許第三方應(yīng)用程序或服務(wù)(例如云文件共享應(yīng)用程序)訪問其Google或其他帳戶中的數(shù)據(jù),而無需輸入用戶名或密碼。

盡管該標準被認為非常有用,但也有其缺陷。例如,去年,成千上萬的G Suite用戶成為了垃圾郵件活動的受害者,當時網(wǎng)絡(luò)釣魚者誘使他們使用虛假的Google Docs許可請求授予他們的聯(lián)系人列表訪問權(quán)限。遵循網(wǎng)上誘騙電子郵件中鏈接的用戶將被帶到合法的Google登錄屏幕,最終他們最終被授予了對流氓應(yīng)用程序而非Google文檔的訪問權(quán)。

事件發(fā)生后,Google一直在加強圍繞其OAuth應(yīng)用程序環(huán)境的某些控制。例如,去年7月,該公司開始向用戶發(fā)出更強烈的警告,告知他們是否可以訪問他們不熟悉的應(yīng)用程序。當用戶嘗試授予對新應(yīng)用程序或Google尚未驗證為受信任的應(yīng)用程序的訪問權(quán)限時,該公司開始顯示 “未經(jīng)驗證的應(yīng)用程序”屏幕。

今天的公告基于這些保護措施,使應(yīng)用程序開發(fā)人員更難通過OAuth傳播惡意應(yīng)用程序。通過采取其他措施,每個新的或未經(jīng)驗證的應(yīng)用程序現(xiàn)在都將在一天中可以授予訪問其Google數(shù)據(jù)權(quán)限的用戶數(shù)量受到限制。配額將基于應(yīng)用程序的歷史記錄,開發(fā)人員的聲譽以及應(yīng)用程序?qū)で笤L問的數(shù)據(jù)類型,Camery說。配額限制了惡意應(yīng)用程序開發(fā)人員可能會影響的Google用戶數(shù)量。

大多數(shù)應(yīng)用程序開發(fā)人員不應(yīng)受到更改的影響。希望受到影響的開發(fā)人員可以要求Google驗證其應(yīng)用程序,也可以要求公司增加其每日配額,并說明為什么需要配額。Camery說:“我們將積極監(jiān)控每個應(yīng)用程序的配額使用情況,并采取積極措施與應(yīng)用程序接近其配額的任何開發(fā)人員聯(lián)系。”


免責聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。