Sicurezza dell'ambito di accesso completo dell'API di GMail

1

Recentemente sono spuntati sempre più servizi online per aiutare a gestire la posta di Gmail, come Boomerang, Gmelius e molti altri.

Per funzionare correttamente richiedono un ambito di accesso completo all'API di Gmail, che consente loro di:

  • Visualizza, gestisci ed elimina definitivamente la tua posta in Gmail
  • Crea, aggiorna ed elimina etichette
  • Scrivi e invia nuova email
  • Visualizza le tue impostazioni (ad es. filtri ed etichette)

Questo significa che il servizio ottiene l'accesso completo all'intero account Gmail in qualsiasi momento, anche quando l'utente è offline, giusto?

Che cosa succede se quel servizio viene hackerato o se gli sviluppatori diventano dei ladri, possono accedere agli account e leggere le e-mail dei loro clienti? Quale misura di sicurezza offre Google per l'API?

La maggior parte degli account online si basa sull'e-mail per la sicurezza e la reimpostazione della password, se può essere letta da terze parti, quindi non è più sicura.

Aggiornamento: Ho contattato Gmelius e hanno detto che conservano solo gli hash degli indirizzi email degli utenti e l'id dei thread per posticipare / pianificare. È sufficiente per tenerci al sicuro?

In altre parole, quando concedo a un'API di accesso l'accesso al mio account Gmail, cosa possono fare a livello di codice? a quali gettoni vengono dati? i token possono essere utilizzati al di fuori della loro app?

    
posta Tech Engineer 22.06.2016 - 09:33
fonte

0 risposte

Leggi altre domande sui tag