您的位置: 首頁 >互聯(lián)網(wǎng) >

Google推出新措施以防止OAuth濫用

2022-09-01 15:05:20 編輯:盧國巧 來源:
導讀 Google推出了一些新措施,旨在防止流氓第三方軟件在Gmail,云端硬盤和其他Google云應用程序的用戶之間傳播。立即生效,任何需要開放授權(OA...

Google推出了一些新措施,旨在防止流氓第三方軟件在Gmail,云端硬盤和其他Google云應用程序的用戶之間傳播。立即生效,任何需要開放授權(OAuth)才能訪問Google應用中的用戶數(shù)據(jù)的第三方應用都將受到每日新用戶總數(shù)的限制。該上限將限制可以授權特定應用訪問Google應用中的用戶數(shù)據(jù)的新用戶數(shù)量。Google還限制了特定應用程序可以多快地獲得新用戶。

Google副產(chǎn)品經(jīng)理Luke Camery在6月4日的博客中解釋說:“這些增強的保護措施將有助于保護我們的用戶,并創(chuàng)建OAuth生態(tài)系統(tǒng),使開發(fā)人員可以在更安全的環(huán)境中繼續(xù)發(fā)展壯大。

OAuth是基于令牌的標準,用于在不同應用程序之間實現(xiàn)有限的受保護信息共享。它使用戶可以授權第三方應用程序訪問其數(shù)據(jù),而無需任何單獨的身份驗證。

例如,OAuth對于用戶使用其Gmail或Facebook登錄憑據(jù)登錄第三方網(wǎng)站的能力至關重要。同樣,OAuth允許用戶允許第三方應用程序或服務(例如云文件共享應用程序)訪問其Google或其他帳戶中的數(shù)據(jù),而無需輸入用戶名或密碼。

盡管該標準被認為非常有用,但也有其缺陷。例如,去年,成千上萬的G Suite用戶成為了垃圾郵件活動的受害者,當時網(wǎng)絡釣魚者誘使他們使用虛假的Google Docs許可請求授予他們的聯(lián)系人列表訪問權限。遵循網(wǎng)上誘騙電子郵件中鏈接的用戶將被帶到合法的Google登錄屏幕,最終他們最終被授予了對流氓應用程序而非Google文檔的訪問權。

事件發(fā)生后,Google一直在加強圍繞其OAuth應用程序環(huán)境的某些控制。例如,去年7月,該公司開始向用戶發(fā)出更強烈的警告,告知他們是否可以訪問他們不熟悉的應用程序。當用戶嘗試授予對新應用程序或Google尚未驗證為受信任的應用程序的訪問權限時,該公司開始顯示 “未經(jīng)驗證的應用程序”屏幕。

今天的公告基于這些保護措施,使應用程序開發(fā)人員更難通過OAuth傳播惡意應用程序。通過采取其他措施,每個新的或未經(jīng)驗證的應用程序現(xiàn)在都將在一天中可以授予訪問其Google數(shù)據(jù)權限的用戶數(shù)量受到限制。配額將基于應用程序的歷史記錄,開發(fā)人員的聲譽以及應用程序尋求訪問的數(shù)據(jù)類型,Camery說。配額限制了惡意應用程序開發(fā)人員可能會影響的Google用戶數(shù)量。

大多數(shù)應用程序開發(fā)人員不應受到更改的影響。希望受到影響的開發(fā)人員可以要求Google驗證其應用程序,也可以要求公司增加其每日配額,并說明為什么需要配額。Camery說:“我們將積極監(jiān)控每個應用程序的配額使用情況,并采取積極措施與應用程序接近其配額的任何開發(fā)人員聯(lián)系。”


免責聲明:本文由用戶上傳,如有侵權請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯(lián)網(wǎng) 版權歸原作者所有。