Google เริ่มตรวจสอบการใช้ API จาก App ภายนอกเพื่อเข้าถึงข้อมูลผู้ใช้งาน อาจกินเวลา 3-7 วัน

เพื่อโต้ตอบกับการโจมตีในสัปดาห์ก่อนที่มีผู้โจมตีสร้าง Web Application ปลอมตัวเป็น Google Docs หลอกให้ผู้ใช้งานทำการยืนยันตัวตนผ่าน OAuth เพื่อนำข้อมูลไปใช้โจมตีต่อเนื่อง ทาง Google จึงได้ตัดสินใจเพิ่มกระบวนการตรวจสอบ Web Application ของ 3rd Party ที่ต้องการเข้าถึงข้อมูลผู้ใช้งานจาก Google เพื่อเพิ่มความมั่นคงปลอดภัยขึ้นแล้ว

 

เบื้องต้นนั้น ทาง Google ได้ประกาศว่ามีการอัปเดตใหม่ๆ บน Google API User Data Policy  เพิ่มเติม เช่น การตั้งชื่อ Application จะต้องเป็นเอกลักษณ์แตกต่างจากผู้อื่น และไม่ได้ลอกเลียนแบบผู้อื่นมา และได้เพิ่มขั้นตอนใหม่ในการ Publish Application, การทำ Risk Management และปรับเปลี่ยนหน้า Console เพื่อให้สามารถตรวจสอบ Application ของเหล่านักพัฒนาและทำการแจ้งเตือนได้ โดยทุกๆ Application ใหม่หรือการปรับแต่ง Application เดิมนั้นจะถูกตรวจสอบ และอาจปรากฏ Error Message ได้บน Google API Console, Firebase Console และ Apps Script Editor

ทั้งนี้บาง Web Application นั้นก็อาจถูกตรวจสอบด้วยกระบวนการ Manual Review โดยตราบใดที่การตรวจสอบยังไม่เสร็จสิ้น Google ก็จะไม่เปิดสิทธิ์การเข้าถึงข้อมูลให้กับนักพัฒนาเด็ดขาด โดยเหล่านักพัฒนาสามารถร้องขอให้มีการ Review ได้ตั้งแต่ขั้นตอนการทดสอบระบบเพื่อให้สามารถปล่อย App ออกสู่สาธารณะได้ โดย Google ระบุว่าจะพยายามใช้เวลาภายใน 3-7 วันทำการเพื่อดำเนินการตรวจสอบแต่ละ App ให้เสร็จ และอนาคตก็จะเปิดให้มีการร้องขอการ Review ได้ตั้งแต่ขั้นตอนการลงทะเบียน

สำหรับ App ที่ยังไม่ผ่านการ Review นั้น สามารถทดสอบได้ด้วยการใช้ Account ที่ลงทะเบียนให้เป็น Owner หรือ Editor ในแต่ละโครงการภายใน Google API Console ได้เลย

เหล่านักพัฒนาที่ใช้เทคโนโลยีของ Google ก็อาจต้องคอยติดตามข่าวสารและความเปลี่ยนแปลงที่จะเกิดขึ้นกันหน่อยครับ และการวางแผนในการเปิดตัว Application ที่ต้องขึ้นกับบริการ API ของ Google ก็อาจต้องมีการวางแผนล่วงหน้าเพิ่มเติมครับ

 

ที่มา: https://developers.googleblog.com/2017/05/updating-developer-identity-guidelines.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …