Quali sono i rischi per la sicurezza dell'utilizzo di componenti aggiuntivi in Google Documenti / Fogli di lavoro?

Naviga le tue risposte
7

Sto cercando di utilizzare alcuni componenti aggiuntivi che automatizzano una stampa unione dai dati di Google Spreadsheet, tramite i modelli di Google Doc, ai PDF che vengono inviati via email.

Molti componenti aggiuntivi che ho esaminato (come ad esempio l'autocrate) richiedono, quando si tenta di installarli, permessi estesi che includono l'accesso completo a tutti i miei file di Drive e la possibilità di inviare email come me.

Che tipo di rischi ci sono nell'installazione di un simile componente aggiuntivo? Può ad es. e-mail ai suoi file riservati agli sviluppatori dal mio Drive? E come posso mitigare alcuni / tutti questi rischi? (Ad esempio, è possibile estrarre l'origine del componente aggiuntivo, verificare che non contenga cose divertenti e quindi installare la mia versione di esso?)

    
posta GJ. 02.02.2016 - 23:34
fonte

2 risposte

1

Se uno strumento richiede diritti estesi, allora sì, può usarli. Se lo strumento ha accesso completo in lettura al tuo disco fisso, può effettivamente vedere i tuoi dati sensibili e inviarli ai creatori del software.

Per mitigarlo, puoi cercare un software che necessita di poche autorizzazioni e limitare il più possibile il software.

Puoi farlo impostando un account separato per il software di stampa unione. Questo ha il vantaggio aggiunto che puoi avere la posta proveniente da un nome diverso da te. (Ad es. "Tennis Club" invece di "G.J."). Mettere in chiaro ai destinatari che non sei tu personalmente, ma l'entità per conto della quale stai eseguendo la stampa unione.

Oltre a limitare i diritti, è possibile eseguire il software in una VM o (idealmente) su una macchina separata. Non è ancora garantito, il malware può sfuggire a una macchina virtuale a volte; c'era una vulnerabilità che lo consentiva, alcuni anni fa.

Se il software richiede di essere installato con i privilegi di amministratore / root, è necessario eseguirlo in una VM.

    
risposta data 23.02.2018 - 20:45
fonte
0

Ho avuto la stessa domanda. Ecco alcuni pensieri che ho trovato. link

L'essenza è che questi non sono fatti da Google e quindi c'è sempre qualche rischio. In effetti sembra un po 'come le app su un telefono, tranne apparentemente senza alcun consiglio di Google.

    
risposta data 23.02.2018 - 20:14
fonte

Leggi altre domande sui tag

Esistono tasti AES-CBC o combinazioni di chiavi IV intrinsecamente insicuri noti per valori casuali generati correttamente? XSS è pericoloso nell'applicazione senza database?