TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
เพื่อโต้ตอบกับการโจมตีในสัปดาห์ก่อนที่มีผู้โจมตีสร้าง Web Application ปลอมตัวเป็น Google Docs หลอกให้ผู้ใช้งานทำการยืนยันตัวตนผ่าน OAuth เพื่อนำข้อมูลไปใช้โจมตีต่อเนื่อง ทาง Google จึงได้ตัดสินใจเพิ่มกระบวนการตรวจสอบ Web Application ของ 3rd Party ที่ต้องการเข้าถึงข้อมูลผู้ใช้งานจาก Google เพื่อเพิ่มความมั่นคงปลอดภัยขึ้นแล้ว
เบื้องต้นนั้น ทาง Google ได้ประกาศว่ามีการอัปเดตใหม่ๆ บน Google API User Data Policy เพิ่มเติม เช่น การตั้งชื่อ Application จะต้องเป็นเอกลักษณ์แตกต่างจากผู้อื่น และไม่ได้ลอกเลียนแบบผู้อื่นมา และได้เพิ่มขั้นตอนใหม่ในการ Publish Application, การทำ Risk Management และปรับเปลี่ยนหน้า Console เพื่อให้สามารถตรวจสอบ Application ของเหล่านักพัฒนาและทำการแจ้งเตือนได้ โดยทุกๆ Application ใหม่หรือการปรับแต่ง Application เดิมนั้นจะถูกตรวจสอบ และอาจปรากฏ Error Message ได้บน Google API Console, Firebase Console และ Apps Script Editor
ทั้งนี้บาง Web Application นั้นก็อาจถูกตรวจสอบด้วยกระบวนการ Manual Review โดยตราบใดที่การตรวจสอบยังไม่เสร็จสิ้น Google ก็จะไม่เปิดสิทธิ์การเข้าถึงข้อมูลให้กับนักพัฒนาเด็ดขาด โดยเหล่านักพัฒนาสามารถร้องขอให้มีการ Review ได้ตั้งแต่ขั้นตอนการทดสอบระบบเพื่อให้สามารถปล่อย App ออกสู่สาธารณะได้ โดย Google ระบุว่าจะพยายามใช้เวลาภายใน 3-7 วันทำการเพื่อดำเนินการตรวจสอบแต่ละ App ให้เสร็จ และอนาคตก็จะเปิดให้มีการร้องขอการ Review ได้ตั้งแต่ขั้นตอนการลงทะเบียน
สำหรับ App ที่ยังไม่ผ่านการ Review นั้น สามารถทดสอบได้ด้วยการใช้ Account ที่ลงทะเบียนให้เป็น Owner หรือ Editor ในแต่ละโครงการภายใน Google API Console ได้เลย
เหล่านักพัฒนาที่ใช้เทคโนโลยีของ Google ก็อาจต้องคอยติดตามข่าวสารและความเปลี่ยนแปลงที่จะเกิดขึ้นกันหน่อยครับ และการวางแผนในการเปิดตัว Application ที่ต้องขึ้นกับบริการ API ของ Google ก็อาจต้องมีการวางแผนล่วงหน้าเพิ่มเติมครับ
ที่มา: https://developers.googleblog.com/2017/05/updating-developer-identity-guidelines.html
