Mange mobiltelefonapps, webapplikationer og anden software, som anvender de mest følsomme programmeringsinterfaces (API) til brugerdelen af Googles Gmail-tjeneste, vil holde op med at fungere efter den 31. marts.
Det skyldes, at Google er i færd med at stramme kraftigt op på, hvilke applikationer som skal kunne bruge disse API'er, der giver apps adgang til blandt andet at læse brugernes email.
Som udgangspunkt er adgang til Gmail via internet-mailprotokoller som IMAP, POP og SMTP underlagt et 'scope' kaldet 'https://mail.google.com/', som er blandt de begrænsede API-områder. Det er derfor noget uklart, om for eksempel separate emailklienter er omfattet af de nye krav, da Google tilsyneladende ikke har specificeret dette.
Hvis man i dag benytter programmatisk adgang til Gmail via SMTP fra eksempelvis Java, skal der slås en indstilling til i Gmail, hvor der tillades adgang fra 'mindre sikre apps,' viser Version2's erfaringer.
Hensigten med stramningerne skal være at undgå skandaler svarende til den, Facebook havde med Cambridge Analytica.
Kun til brugerrettet funktionalitet
Den opdaterede policy trådte i kraft allerede den 15. januar, cirka tre måneder efter, at ændringen blev varslet. Ændringen indebærer blandt andet, at alle applikationer, som vil have adgang til de aktuelle, begrænsede API'er, kun må bede om adgange og data, som de faktisk har behov for. Det er kun tilladt at bruge data i brugerrettet funktionalitet og ikke i forbindelse med for eksempel persontilpassede annoncevisninger.
Her er det værd at tilføje, at også Google er holdt op med at bruge Gmail-indhold til persontilpassede annoncevisninger. Det skete i 2017.
Kostbar sikkerhedsvurdering
Applikationsudviklere, som ønsker at bruge de aktuelle Gmail-API'er i én eller flere eksisterende applikationer, må bede om, at applikationerne bliver sikkerhedsvurderet inden den 15. februar, for at de ikke skal holde op med at fungere den 31. marts. Denne vurdering vil blive foretaget af en tredjepart, som Google har valgt, og ikke af Google selv.
Det er udviklerne selv, som skal dække sikkerhedsvurderingens omkostninger. Prisen på dette vil typisk ligge på 15.000 til 75.000 dollars, men kan også være højere. Det, som afgør prisen, er applikationens størrelse og kompleksitet. Prisen inkluderer formentlig én revurdering, hvis der er behov for det.
Udviklere, som har mere end én applikation, som bruger de aktuelle API'er, skal have sikkerhedsvurderet hver af applikationerne separat.
Hver applikation skal sikkerhedsvurderes årligt.
Mindre udvalg?
For brugerne betyder dette, at de i større grad kan være sikre på, at indholdet i deres Gmail ikke misbruges.
Ulempen er, at der formentlig vil være langt færre applikationer tilgængelige, som kan give Gmail øget eller alternativ funktionalitet. For eksempel vil software til sikkerhedskopiering af emails i Gmail være berørt, hvis den benytter nogen af de aktuelle API'er.
En årlig ekstraudgift på mindst 15.000 dollars kan knække mange mindre softwareselskaber. The Register har interviewet flere appudviklere, som er berørt af de nye regler. Flere kritiserer Google for ikke at tilbyde forskellige regler for aktører med varierende forretningsmodeller. Nogle af de berørte lagrer ingen data fra brugernes Gmail-konti.
Under overskriften 'When can I skip submitting my app for a review?' på denne side oplyses det, at det ikke er nødvendigt at få sikkerhedsvurderet appen, hvis den ikke deles med nogen andre, eller hvis den benytter SMTP-plugins for én enkelt konto.
Applikationer, som kun har adgang til G Suite-konti, skal i udgangspunktet ikke være berørt af disse ændringer.
Artiklen er fra digi.no
