Google zabiera głos: dostęp do Gmaila mogą otrzymać tylko sprawdzeni deweloperzy
Google zabrało głos po fali oburzenia wywołanej faktem, że zewnętrzni deweloperzy mogą czytać korespondencję z Gmaila. Pojawił się wpis tłumaczący zasady przyznawania dostępu do Gmaila, ale nie dotyka on sedna problemu.
Artykuł Wall Strett Journal wywołał prawdziwą burzę, choć odnoszę wrażenie, że nie wszyscy zrozumieli prawdziwą istotę problemu. WSJ pokazał, że zewnętrzni deweloperzy mogą uzyskać dostęp do Gmaila. Wiele osób oburzyło się na tę wieść, ale nie jest to żadna nowość, bo od dawna niektóre aplikacje proszą użytkownika o dostęp do Gmaila. To użytkownik decyduje, czy udostępnia swoją skrzynkę usługom firm trzecich.
Oburzający fakt leży gdzieś obok: WSJ ujawnił rozmowy z deweloperami, którzy przyznają się do czytania maili użytkowników.
Aby zobrazować ten proces, posłużę się przykładem. Załóżmy, że chcesz obsługiwać pocztę z Gmaila w zewnętrznej aplikacji, np. w takiej, która potrafi gromadzić maile z kilku różnych skrzynek. Instalujesz taką aplikację, po czym prosi cię ona o dostęp do twojego Gmaila. Jest to podstawa działania aplikacji, więc zgadzasz się na prośbę.
Artykuł WSJ ujawnił nieprawidłowości, które dzieją się później. Okazuje się, że dość powszechną praktyką jest czytanie maili przez deweloperów pracujących nad aplikacją. Zakładamy, że przyznając dostęp do Gmaila po prostu umożliwiamy skryptom wykonywać operacje na skrzynkach mailowych. Tymczasem bywa tak, że umożliwiamy deweloperom czytanie naszych wiadomości, z czego - według WSJ - deweloperzy chętnie korzystają.
Google zabrało głos w tej sprawie.
Na blogu Google pojawił się wpis, w którym firma wyjaśnia, na jakich zasadach zewnętrzny deweloper może uzyskać dostęp do Gmaila. Google ze swojej strony nadzoruje każdą aplikację, która ubiega się o dostęp do skrzynek. Odbywa się to dwutorowo, poprzez badanie tego, czy:
- aplikacja nie fałszuje swojego opisu i robi dokładnie to, o czym informuje użytkownika,
- aplikacja prosi o dostęp tylko do tych danych, których potrzebuje do działania.
Google przypomina, że ostatecznie wszystko leży w rękach użytkownika, który musi zgodzić się na dostęp. Do tego firma przypomina o tym, że w każdej chwili można kontrolować aplikacje, którym przyznaliśmy dostęp do Gmaila lub innych składowych konta Google.
Niestety ten wpis nie odnosi się do sedna problemu.
Cała afera wybuchła wokół faktu, że Google nie ma narzędzi do kontrolowania tego, co dzieje się po stronie dewelopera. Regulamin zewnętrznej usługi może twierdzić, że żaden pracownik nie będzie miał dostępu do maili. Raport WSJ ujawnia, że niektóre firmy łamią własne regulaminy, a ani Google, ani tym bardziej użytkownik Gmaila, nie wie o tym, bo nie może tego kontrolować.
W efekcie powinniśmy być dużo bardziej nieufni względem aplikacji firm trzecich, niż zakładaliśmy jeszcze w ubiegłym tygodniu. Najbezpieczniej jest nie przyznawać dostępu nikomu, ale to wymagałoby korzystania z Gmaila tylko w przeglądarce, co nie jest szczytem wygody.