Recentemente sono spuntati sempre più servizi online per aiutare a gestire la posta di Gmail, come Boomerang, Gmelius e molti altri.
Per funzionare correttamente richiedono un ambito di accesso completo all'API di Gmail, che consente loro di:
- Visualizza, gestisci ed elimina definitivamente la tua posta in Gmail
- Crea, aggiorna ed elimina etichette
- Scrivi e invia nuova email
- Visualizza le tue impostazioni (ad es. filtri ed etichette)
Questo significa che il servizio ottiene l'accesso completo all'intero account Gmail in qualsiasi momento, anche quando l'utente è offline, giusto?
Che cosa succede se quel servizio viene hackerato o se gli sviluppatori diventano dei ladri, possono accedere agli account e leggere le e-mail dei loro clienti? Quale misura di sicurezza offre Google per l'API?
La maggior parte degli account online si basa sull'e-mail per la sicurezza e la reimpostazione della password, se può essere letta da terze parti, quindi non è più sicura.
Aggiornamento: Ho contattato Gmelius e hanno detto che conservano solo gli hash degli indirizzi email degli utenti e l'id dei thread per posticipare / pianificare. È sufficiente per tenerci al sicuro?
In altre parole, quando concedo a un'API di accesso l'accesso al mio account Gmail, cosa possono fare a livello di codice? a quali gettoni vengono dati? i token possono essere utilizzati al di fuori della loro app?