Gmail strammer op og lukker API-adgang - uvist om SMTP og IMAP forsætter

Illustration: bigtunaonline/Bigstock
It-giganten er bekymret for en persondataskandale, fordi tredjeparts apps får adgang til gmail brugernes email. Derfor strammes der nu voldsomt op på API-adgang.

Mange mobiltelefonapps, webapplikationer og anden software, som anvender de mest følsomme programmeringsinterfaces (API) til brugerdelen af Googles Gmail-tjeneste, vil holde op med at fungere efter den 31. marts.

Det skyldes, at Google er i færd med at stramme kraftigt op på, hvilke applikationer som skal kunne bruge disse API'er, der giver apps adgang til blandt andet at læse brugernes email.

Som udgangspunkt er adgang til Gmail via internet-mailprotokoller som IMAP, POP og SMTP underlagt et 'scope' kaldet 'https://mail.google.com/', som er blandt de begrænsede API-områder. Det er derfor noget uklart, om for eksempel separate emailklienter er omfattet af de nye krav, da Google tilsyneladende ikke har specificeret dette.

Hvis man i dag benytter programmatisk adgang til Gmail via SMTP fra eksempelvis Java, skal der slås en indstilling til i Gmail, hvor der tillades adgang fra 'mindre sikre apps,' viser Version2's erfaringer.

Hensigten med stramningerne skal være at undgå skandaler svarende til den, Facebook havde med Cambridge Analytica.

Kun til brugerrettet funktionalitet

Den opdaterede policy trådte i kraft allerede den 15. januar, cirka tre måneder efter, at ændringen blev varslet. Ændringen indebærer blandt andet, at alle applikationer, som vil have adgang til de aktuelle, begrænsede API'er, kun må bede om adgange og data, som de faktisk har behov for. Det er kun tilladt at bruge data i brugerrettet funktionalitet og ikke i forbindelse med for eksempel persontilpassede annoncevisninger.

Her er det værd at tilføje, at også Google er holdt op med at bruge Gmail-indhold til persontilpassede annoncevisninger. Det skete i 2017.

Kostbar sikkerhedsvurdering

Applikationsudviklere, som ønsker at bruge de aktuelle Gmail-API'er i én eller flere eksisterende applikationer, må bede om, at applikationerne bliver sikkerhedsvurderet inden den 15. februar, for at de ikke skal holde op med at fungere den 31. marts. Denne vurdering vil blive foretaget af en tredjepart, som Google har valgt, og ikke af Google selv.

Det er udviklerne selv, som skal dække sikkerhedsvurderingens omkostninger. Prisen på dette vil typisk ligge på 15.000 til 75.000 dollars, men kan også være højere. Det, som afgør prisen, er applikationens størrelse og kompleksitet. Prisen inkluderer formentlig én revurdering, hvis der er behov for det.

Udviklere, som har mere end én applikation, som bruger de aktuelle API'er, skal have sikkerhedsvurderet hver af applikationerne separat.

Hver applikation skal sikkerhedsvurderes årligt.

Mindre udvalg?

For brugerne betyder dette, at de i større grad kan være sikre på, at indholdet i deres Gmail ikke misbruges.

Ulempen er, at der formentlig vil være langt færre applikationer tilgængelige, som kan give Gmail øget eller alternativ funktionalitet. For eksempel vil software til sikkerhedskopiering af emails i Gmail være berørt, hvis den benytter nogen af de aktuelle API'er.

En årlig ekstraudgift på mindst 15.000 dollars kan knække mange mindre softwareselskaber. The Register har interviewet flere appudviklere, som er berørt af de nye regler. Flere kritiserer Google for ikke at tilbyde forskellige regler for aktører med varierende forretningsmodeller. Nogle af de berørte lagrer ingen data fra brugernes Gmail-konti.

Under overskriften 'When can I skip submitting my app for a review?' på denne side oplyses det, at det ikke er nødvendigt at få sikkerhedsvurderet appen, hvis den ikke deles med nogen andre, eller hvis den benytter SMTP-plugins for én enkelt konto.

Applikationer, som kun har adgang til G Suite-konti, skal i udgangspunktet ikke være berørt af disse ændringer.

Artiklen er fra digi.no

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert Agerholm

De skyder sig selv i foden.
Hvis de dropper IMAP og SMTP, så kan vi ikke bruge Google i erhvervs sammenhæng.

And the winner is ..... unfortunatly ...... Microsoft. Og når Mail ryer over ti lMicrosoft, så kan Google også godt glemme Google docs og drive, for med en Exchange er man (desværre) allerede inde i en MS verden, og ingen kører på 2 heste.

Google kan lige så godt dropper forsøget på erhvervs kunder hvis det implementeres. Men måske er det i virkeligheden et forsøg på at tvinge os over på deres apps og web løsninger. Det slipper de så nok ikke godt fra. Alt centreres omkring deres webløsning. Den dur bare ikke i nogle sammenhæng. Hvis man har opdelt mail i 50 eller flere mapper (ikke unormalt i erhvervslivet), så har man 0 overblik i Webmail.

Google bliver mere og mere "det store imperie" som dropper standarder og implementerer egen løsning.

Kenn Nielsen

.....HAR vi jer !!

Men, hvis vi lægger galgenhumouren væk.....

Jeg bruger ikke gMail , men.. Er man så ikke låst, da man ikke uden IMAP kan trække sine mails ud (ja,ja - kun en kopi google har stadigvæk et eksemplar), og over i et andet mailsysten ?

K

Flemming Jønsson

Denne vurdering vil blive foretaget af en tredjepart, som Google har valgt, og ikke af Google selv.

Det er udviklerne selv, som skal dække sikkerhedsvurderingens omkostninger. Prisen på dette vil typisk ligge på 15.000 til 75.000 dollars, men kan også være højere. Det, som afgør prisen, er applikationens størrelse og kompleksitet. Prisen inkluderer formentlig én revurdering, hvis der er behov for det.

Udviklere, som har mere end én applikation, som bruger de aktuelle API'er, skal have sikkerhedsvurderet hver af applikationerne separat.

Hver applikation skal sikkerhedsvurderes årligt.

Hmm, Google - hvor melder man sig som reviewer, og hvad er kravene mon for at blive reviewer?

Med de forventede priser tænker jeg der må være basis for lidt konkurrence på det marked.

15000$-75000$ med dagens kurs er det omkring 98000-495000kr. Det giver umiddelbart mulighed for at holde en ganske fornuftig timeløn hjemme i forbindelse med reviewet.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize