Come funziona la sicurezza in uno scenario di backup cloud-to-cloud?

Naviga le tue risposte
3

Sto pensando di usare Spinbackup, che è un backup cloud-to-cloud di gmail, ma ero resistente all'idea di dire a Spinbackup la mia password di Gmail per ovvi motivi. Tuttavia, nella pagina di sicurezza di Spinbackup viene indicato questo:

Spinbackup never requires Google user credentials. We don’t store your passwords on our servers. It cannot access passwords as it uses OAuth 2.0 to access your Google account data, the latest Google API, which allows two-step verification.

La mia reazione di buon senso è che sicuramente se qualcuno ha il privilegio di eseguire il backup della mia e-mail, allora può anche leggere la mia e-mail (e probabilmente inviare e-mail anche a mio nome). Senza entrare in tutti i dettagli su OAuth2, qualcuno può spiegare cosa significa la dichiarazione sopra e quale sicurezza offre?

    
posta Andy 25.05.2018 - 09:24
fonte

1 risposta

5

Come sono limitati

Usando OAuth, chiedi per ambiti , che sono simili alle autorizzazioni, questo significa che possono usare le credenziali solo per quello che chiedono e non possono fare cose fuori dal campo di applicazione.

Alcuni degli ambiti coprono più cose, anche se, ad esempio, essere in grado di copiare un'e-mail significa che possono anche leggere l'email, che non è qualcosa che OAuth potrebbe difendere a meno che Gmail non fornisca un ambito di accesso crittografato, ma se Gmail è scomparso così come le chiavi di decodifica.

I vantaggi dell'utilizzo di OAuth sono:

  • Puoi revocare un'app senza revocarla tutte
  • Puoi cambiare la password senza perdere le tue app
  • Puoi limitare le app
  • Le app devono richiedere esplicitamente gli ambiti, pertanto non possono eseguire l'escalation delle autorizzazioni

Che cosa chiedono

Visivamente

Dietrolequinte

Utilizzandoidatidi i documenti e un accesso di prova ho trovato che sono richiesti i seguenti ambiti

  • email

    Visualizza il tuo indirizzo email

  • profilo

    Visualizza le informazioni di base del tuo profilo

  • link

    Leggi, invia, cancella e gestisci la tua email

  • link

    Visualizza e gestisci i file in Google Drive

  • link

    Questo sembra essere un vecchio ambito: Informazioni

  • link

    Gestisci i tuoi calendari

  • link

    Gestisci i tuoi contatti

  • link

    Gestisci le tue attività

Conclusione

Come puoi vedere sopra, chiedono un sacco di permessi, in teoria, potrebbero farla franca con le varianti di sola lettura di cui sopra, ma potrebbero permetterti di spingere i dati indietro al tuo account, che richiede la possibilità di scrivere.

    
risposta data 25.05.2018 - 09:47
fonte

Leggi altre domande sui tag

Perché è consigliabile utilizzare account senza diritti Sysop per il lavoro quotidiano? VPS con attacco di malloc delle risorse condivise