¿Cuáles son los riesgos de seguridad de usar complementos en Google Docs / Spreadsheets?

Navega tus respuestas
7

Estoy estudiando el uso de algún complemento que automatice una combinación de correspondencia de los datos de Google Spreadsheet, a través de las plantillas de Google Doc, a los PDF que se envían por correo electrónico.

Varios complementos que examiné (como autócrata) requieren, al intentar instalarlos, permisos extensos que incluyen acceso completo a todos mis archivos de Drive y la capacidad de enviar correos electrónicos como yo.

¿Qué tipo de riesgos existen al instalar un complemento de este tipo? ¿Puede por ejemplo correo electrónico a los desarrolladores de archivos confidenciales de mi unidad? ¿Y cómo puedo mitigar algunos / todos estos riesgos? (Por ejemplo, ¿es posible extraer la fuente del complemento, verificar que no contenga elementos divertidos e instalar mi propia versión?)

    
pregunta GJ. 02.02.2016 - 23:34
fuente

2 respuestas

1

Si una herramienta requiere amplios derechos, entonces sí, puede usarlos. Si la herramienta tiene acceso de lectura completo a su disco duro, puede ver sus datos confidenciales y enviarlos a los creadores del software.

Para mitigar esto, puede buscar software que necesite pocos permisos y restringir el software tanto como sea posible.

Puede hacer esto configurando una cuenta separada para el software de combinación de correo. Esto tiene la ventaja adicional de que el correo puede provenir de un nombre diferente al tuyo. (Por ejemplo, "Club de tenis" en lugar de "G.J."). Aclarando a los destinatarios que no es usted personalmente, sino la entidad en cuyo nombre está ejecutando la combinación de correspondencia.

Además de restringir los derechos, puede ejecutar el software en una VM o (idealmente) en una máquina separada. Eso todavía no es una garantía, el malware puede escapar de una VM a veces; Había una vulnerabilidad que lo permitía, hace unos años.

Si el software insiste en que se instale con privilegios de administrador / raíz, querrá ejecutarlo en una máquina virtual.

    
respondido por el S.L. Barth 23.02.2018 - 20:45
fuente
0

Tuve la misma pregunta. Aquí hay algunos pensamientos que encontré. enlace

Lo esencial es que no están hechos por Google y, por lo tanto, siempre hay algún riesgo. De hecho, suena un poco como aplicaciones en un teléfono, excepto aparentemente sin ninguna recomendación de Google.

    
respondido por el Grant 23.02.2018 - 20:14
fuente

Lea otras preguntas en las etiquetas

Votaciones en línea donde los códigos de dos partes se envían juntos ¿Debo evitar el envío de solicitudes GET para las URL que normalmente se utilizan con la solicitud POST?