Google推出新措施以防止OAuth濫用

Google推出了一些新措施，旨在防止流氓第三方軟件在Gmail，云端硬盤和其他Google云應(yīng)用程序的用戶之間傳播。立即生效，任何需要開放授權(quán)(OAuth)才能訪問Google應(yīng)用中的用戶數(shù)據(jù)的第三方應(yīng)用都將受到每日新用戶總數(shù)的限制。該上限將限制可以授權(quán)特定應(yīng)用訪問Google應(yīng)用中的用戶數(shù)據(jù)的新用戶數(shù)量。Google還限制了特定應(yīng)用程序可以多快地獲得新用戶。

Google副產(chǎn)品經(jīng)理Luke Camery在6月4日的博客中解釋說：“這些增強(qiáng)的保護(hù)措施將有助于保護(hù)我們的用戶，并創(chuàng)建OAuth生態(tài)系統(tǒng)，使開發(fā)人員可以在更安全的環(huán)境中繼續(xù)發(fā)展壯大。

OAuth是基于令牌的標(biāo)準(zhǔn)，用于在不同應(yīng)用程序之間實(shí)現(xiàn)有限的受保護(hù)信息共享。它使用戶可以授權(quán)第三方應(yīng)用程序訪問其數(shù)據(jù)，而無需任何單獨(dú)的身份驗(yàn)證。

例如，OAuth對(duì)于用戶使用其Gmail或Facebook登錄憑據(jù)登錄第三方網(wǎng)站的能力至關(guān)重要。同樣，OAuth允許用戶允許第三方應(yīng)用程序或服務(wù)(例如云文件共享應(yīng)用程序)訪問其Google或其他帳戶中的數(shù)據(jù)，而無需輸入用戶名或密碼。

盡管該標(biāo)準(zhǔn)被認(rèn)為非常有用，但也有其缺陷。例如，去年，成千上萬的G Suite用戶成為了垃圾郵件活動(dòng)的受害者，當(dāng)時(shí)網(wǎng)絡(luò)釣魚者誘使他們使用虛假的Google Docs許可請(qǐng)求授予他們的聯(lián)系人列表訪問權(quán)限。遵循網(wǎng)上誘騙電子郵件中鏈接的用戶將被帶到合法的Google登錄屏幕，最終他們最終被授予了對(duì)流氓應(yīng)用程序而非Google文檔的訪問權(quán)。

事件發(fā)生后，Google一直在加強(qiáng)圍繞其OAuth應(yīng)用程序環(huán)境的某些控制。例如，去年7月，該公司開始向用戶發(fā)出更強(qiáng)烈的警告，告知他們是否可以訪問他們不熟悉的應(yīng)用程序。當(dāng)用戶嘗試授予對(duì)新應(yīng)用程序或Google尚未驗(yàn)證為受信任的應(yīng)用程序的訪問權(quán)限時(shí)，該公司開始顯示 “未經(jīng)驗(yàn)證的應(yīng)用程序”屏幕。

今天的公告基于這些保護(hù)措施，使應(yīng)用程序開發(fā)人員更難通過OAuth傳播惡意應(yīng)用程序。通過采取其他措施，每個(gè)新的或未經(jīng)驗(yàn)證的應(yīng)用程序現(xiàn)在都將在一天中可以授予訪問其Google數(shù)據(jù)權(quán)限的用戶數(shù)量受到限制。配額將基于應(yīng)用程序的歷史記錄，開發(fā)人員的聲譽(yù)以及應(yīng)用程序?qū)で笤L問的數(shù)據(jù)類型，Camery說。配額限制了惡意應(yīng)用程序開發(fā)人員可能會(huì)影響的Google用戶數(shù)量。

大多數(shù)應(yīng)用程序開發(fā)人員不應(yīng)受到更改的影響。希望受到影響的開發(fā)人員可以要求Google驗(yàn)證其應(yīng)用程序，也可以要求公司增加其每日配額，并說明為什么需要配額。Camery說：“我們將積極監(jiān)控每個(gè)應(yīng)用程序的配額使用情況，并采取積極措施與應(yīng)用程序接近其配額的任何開發(fā)人員聯(lián)系。”