Google เริ่มตรวจสอบการใช้ API จาก App ภายนอกเพื่อเข้าถึงข้อมูลผู้ใช้งาน อาจกินเวลา 3-7 วัน

เพื่อโต้ตอบกับการโจมตีในสัปดาห์ก่อนที่มีผู้โจมตีสร้าง Web Application ปลอมตัวเป็น Google Docs หลอกให้ผู้ใช้งานทำการยืนยันตัวตนผ่าน OAuth เพื่อนำข้อมูลไปใช้โจมตีต่อเนื่อง ทาง Google จึงได้ตัดสินใจเพิ่มกระบวนการตรวจสอบ Web Application ของ 3rd Party ที่ต้องการเข้าถึงข้อมูลผู้ใช้งานจาก Google เพื่อเพิ่มความมั่นคงปลอดภัยขึ้นแล้ว

 

เบื้องต้นนั้น ทาง Google ได้ประกาศว่ามีการอัปเดตใหม่ๆ บน Google API User Data Policy  เพิ่มเติม เช่น การตั้งชื่อ Application จะต้องเป็นเอกลักษณ์แตกต่างจากผู้อื่น และไม่ได้ลอกเลียนแบบผู้อื่นมา และได้เพิ่มขั้นตอนใหม่ในการ Publish Application, การทำ Risk Management และปรับเปลี่ยนหน้า Console เพื่อให้สามารถตรวจสอบ Application ของเหล่านักพัฒนาและทำการแจ้งเตือนได้ โดยทุกๆ Application ใหม่หรือการปรับแต่ง Application เดิมนั้นจะถูกตรวจสอบ และอาจปรากฏ Error Message ได้บน Google API Console, Firebase Console และ Apps Script Editor

ทั้งนี้บาง Web Application นั้นก็อาจถูกตรวจสอบด้วยกระบวนการ Manual Review โดยตราบใดที่การตรวจสอบยังไม่เสร็จสิ้น Google ก็จะไม่เปิดสิทธิ์การเข้าถึงข้อมูลให้กับนักพัฒนาเด็ดขาด โดยเหล่านักพัฒนาสามารถร้องขอให้มีการ Review ได้ตั้งแต่ขั้นตอนการทดสอบระบบเพื่อให้สามารถปล่อย App ออกสู่สาธารณะได้ โดย Google ระบุว่าจะพยายามใช้เวลาภายใน 3-7 วันทำการเพื่อดำเนินการตรวจสอบแต่ละ App ให้เสร็จ และอนาคตก็จะเปิดให้มีการร้องขอการ Review ได้ตั้งแต่ขั้นตอนการลงทะเบียน

สำหรับ App ที่ยังไม่ผ่านการ Review นั้น สามารถทดสอบได้ด้วยการใช้ Account ที่ลงทะเบียนให้เป็น Owner หรือ Editor ในแต่ละโครงการภายใน Google API Console ได้เลย

เหล่านักพัฒนาที่ใช้เทคโนโลยีของ Google ก็อาจต้องคอยติดตามข่าวสารและความเปลี่ยนแปลงที่จะเกิดขึ้นกันหน่อยครับ และการวางแผนในการเปิดตัว Application ที่ต้องขึ้นกับบริการ API ของ Google ก็อาจต้องมีการวางแผนล่วงหน้าเพิ่มเติมครับ

 

ที่มา: https://developers.googleblog.com/2017/05/updating-developer-identity-guidelines.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[PCI Community Meeting 2017] สรุป Keynote Session วันที่ 2 โดย ดร. ชาลี วรกุลพิพัฒน์ จาก NECTEC

บทความนี้เป็นสรุปเซสชัน Keynote ในงาน PCI Community Meeting 2017 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา ในหัวข้อ “Security Awareness, Policies, Practices and Challenges” …

Microsoft เตรียมออก Windows 10 เวอร์ชันสุดพิเศษ สำหรับรัฐบาลจีนโดยเฉพาะ

หลังจากที่รัฐบาลจีนออกมาประกาศแบนระบบปฏิบัติการ Windows ในปี 2014 เนื่องจากกลัวว่าบริษัทเทคโนโลยียักษ์ใหญ่ของสหรัฐฯ จะร่วมมือกับรัฐบาลในการแอบสอดแนมหรือดักฟังข้อมูลของรัฐบาลจีน จนถึงขั้นต้องปรับแต่ง Windows XP และ Ubuntu ใช้กันเองมาแล้ว ล่าสุด เพื่อที่จะเจาะเข้าตลาดที่ใหญ่ที่สุดในโลกได้ Microsoft …