互联新闻：Google推出新措施以防止OAuth滥用

Google副产品经理LukeCamery在6月4日的博客中解释说：“这些增强的保护措施将有助于保护我们的用户，并创建OAuth生态系统，使开发人员可以在更安全的环境中继续发展壮大。

OAuth是基于令牌的标准，用于在不同应用程序之间实现有限的受保护信息共享。它使用户可以授权第三方应用程序访问其数据，而无需任何单独的身份验证。

例如，OAuth对于用户使用其Gmail或Facebook登录凭据登录第三方网站的能力至关重要。同样，OAuth允许用户允许第三方应用程序或服务(例如云文件共享应用程序)访问其Google或其他帐户中的数据，而无需输入用户名或密码。

尽管该标准被认为非常有用，但也有其缺陷。例如，去年，成千上万的GSuite用户成为了垃圾邮件活动的受害者，当时网络钓鱼者诱使他们使用虚假的GoogleDocs许可请求授予他们的联系人列表访问权限。遵循网上诱骗电子邮件中链接的用户将被带到合法的Google登录屏幕，最终他们最终被授予了对流氓应用程序而非Google文档的访问权。

事件发生后，Google一直在加强围绕其OAuth应用程序环境的某些控制。例如，去年7月，该公司开始向用户发出更强烈的警告，告知他们是否可以访问他们不熟悉的应用程序。当用户尝试授予对新应用程序或Google尚未验证为受信任的应用程序的访问权限时，该公司开始显示“未经验证的应用程序”屏幕。

今天的公告基于这些保护措施，使应用程序开发人员更难通过OAuth传播恶意应用程序。通过采取其他措施，每个新的或未经验证的应用程序现在都将在一天中可以授予访问其Google数据权限的用户数量受到限制。配额将基于应用程序的历史记录，开发人员的声誉以及应用程序寻求访问的数据类型，Camery说。配额限制了恶意应用程序开发人员可能会影响的Google用户数量。

大多数应用程序开发人员不应受到更改的影响。希望受到影响的开发人员可以要求Google验证其应用程序，也可以要求公司增加其每日配额，并说明为什么需要配额。Camery说：“我们将积极监控每个应用程序的配额使用情况，并采取积极措施与应用程序接近其配额的任何开发人员联系。”

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！