Recientemente están apareciendo cada vez más servicios en línea para ayudar a administrar el correo de Gmail, como Boomerang, Gmelius y muchos otros.
Para funcionar correctamente, requieren un alcance de acceso completo a la api de gmail, que les da permiso para:
- Vea, administre y elimine permanentemente su correo en Gmail
- Crear, actualizar y eliminar etiquetas
- Redactar y enviar un nuevo correo electrónico
- Ver su configuración (por ejemplo, filtros y etiquetas)
Esto significa que el servicio obtiene acceso completo a toda la cuenta de gmail en cualquier momento, incluso cuando el usuario está desconectado, ¿no?
¿Qué pasa si ese servicio se piratea o los desarrolladores se vuelven deshonestos, pueden acceder a las cuentas y leer los correos electrónicos de sus clientes? ¿Qué medida de seguridad ofrece Google para la API?
La mayoría de las cuentas en línea dependen del correo electrónico para la seguridad y el restablecimiento de la contraseña, si terceros pueden leerlo, entonces ya no es seguro.
Actualizar: Me puse en contacto con Gmelius y me dijeron que solo guardaban los hashes de la dirección de correo electrónico de los usuarios y la identificación de los hilos para posponer / programar. ¿Es esto suficiente para mantenernos seguros?
En otras palabras, cuando le doy acceso a la API de una aplicación a mi cuenta de gmail, ¿qué pueden hacer a nivel programático? ¿Qué tokens se dan? ¿Se pueden usar los tokens fuera de su aplicación?