Seguridad del alcance de acceso completo de la API de GMail

1

Recientemente están apareciendo cada vez más servicios en línea para ayudar a administrar el correo de Gmail, como Boomerang, Gmelius y muchos otros.

Para funcionar correctamente, requieren un alcance de acceso completo a la api de gmail, que les da permiso para:

  • Vea, administre y elimine permanentemente su correo en Gmail
  • Crear, actualizar y eliminar etiquetas
  • Redactar y enviar un nuevo correo electrónico
  • Ver su configuración (por ejemplo, filtros y etiquetas)

Esto significa que el servicio obtiene acceso completo a toda la cuenta de gmail en cualquier momento, incluso cuando el usuario está desconectado, ¿no?

¿Qué pasa si ese servicio se piratea o los desarrolladores se vuelven deshonestos, pueden acceder a las cuentas y leer los correos electrónicos de sus clientes? ¿Qué medida de seguridad ofrece Google para la API?

La mayoría de las cuentas en línea dependen del correo electrónico para la seguridad y el restablecimiento de la contraseña, si terceros pueden leerlo, entonces ya no es seguro.

Actualizar: Me puse en contacto con Gmelius y me dijeron que solo guardaban los hashes de la dirección de correo electrónico de los usuarios y la identificación de los hilos para posponer / programar. ¿Es esto suficiente para mantenernos seguros?

En otras palabras, cuando le doy acceso a la API de una aplicación a mi cuenta de gmail, ¿qué pueden hacer a nivel programático? ¿Qué tokens se dan? ¿Se pueden usar los tokens fuera de su aplicación?

    
pregunta Tech Engineer 22.06.2016 - 09:33
fuente

0 respuestas

Lea otras preguntas en las etiquetas