Google vừa triển khai thêm lớp bảo mật mới đối với các ứng dụng chưa xác minh, bảo vệ bạn tốt hơn

Google luôn nỗ lực bảo vệ người dùng và dữ liệu của mình. Đầu năm nay, công ty từng công bố chi tiết về các công cụ mới nhất chống lừa đảo và triển khai các bản cập nhật dành cho nhà phát triển để xử lý quá trình xuất bản ứng dụng, đánh giá rủi ro hệ thống và các trang về sự chấp thuận của người dùng.

Gần đây nhất, họ đã giới thiệu tính năng bảo mật mới, nhằm cấp quyền truy cập dữ liệu OAuth cho bộ công cụ trực tuyến G Suite, để cho phép các nhà quản trị lựa chọn một cách chính xác, ứng dụng bên thứ ba nào có thể truy cập vào dữ liệu người dùng.

Trong vài tháng qua, một số ứng dụng nền web mới trước khi khởi chạy, đã buộc phải trải qua một quy trình xác minh dựa trên việc đánh giá rủi ro. Và cho đến hôm qua, Google đã mở rộng nền tảng bảo mật đó, và giới thiệu các biện pháp bảo vệ bổ sung: các cảnh báo mạnh mẽ để thông báo người dùng về những ứng dụng web mới tạo ra và các Apps Script (các tiện ích bổ sung cho những sản phẩm trực tuyến của Google) đang chờ xác nhận.

Thêm vào đó, công ty cũng đang tạo nên các thay đổi sẽ giúp cải thiện trải nghiệm cho nhà phát triển. Trong những tháng tới đây, Google sẽ bắt đầu mở rộng quá trình xác minh này và đưa ra các cảnh báo mới đối với những ứng dụng hiện có.

Bảo vệ người dùng trước các ứng dụng chưa được xác minh

Bắt đầu từ hôm qua, Google sẽ triển khai một màn hình “ứng dụng chưa xác minh” dành cho các ứng dụng web mới khởi tạo và các Apps Scripts đòi hỏi phải xác minh. Màn hình mới này sẽ thay thế các trang báo lỗi mà những nhà phát triển và người dùng các ứng dụng web chưa được xác nhận đó vẫn nhận được hiện nay.

Màn hình “ứng dụng chưa xác minh” này sẽ xuất hiện phía trước màn hình cấp phép cho ứng dụng, và nó cho người dùng biết rằng ứng dụng này vẫn chưa được xác minh. Điều này sẽ giúp giảm rủi ro dữ liệu người dùng bị những kẻ xấu đánh lừa.

Màn hình thông báo "ứng dụng chưa xác minh".

Màn hình thông báo mới này cũng sẽ giúp các nhà phát triển kiểm tra ứng dụng của họ dễ dàng hơn. Do người dùng có thể chọn rằng, họ đã biết cảnh báo “ứng dụng chưa xác minh”, các nhà phát triển giờ có thể kiểm tra ứng dụng của họ mà không phải chạy qua quá trình xác minh máy khách OAuth trước.

Các nhà phát triển có thể tuân theo các bước được nêu ra trong bài viết ở đường link này: support.google.com/cloud/answer/7454865 , để bắt đầu quá trình xác minh, nhằm loại bỏ bước chuyển tiếp trên và chuẩn bị khởi chạy ứng dụng.

Mở rộng các biện pháp bảo mật cho Google Apps Scripts

Google cũng mở rộng các tính năng bảo vệ tương tự như trên cho Apps Scripts. Bắt đầu từ tuần này, các Apps Scripts mới từ người tiêu dùng hoặc từ người dùng trên các domain khác, khi yêu cầu cấp quyền OAuth để truy cập dữ liệu cũng có thể thấy màn hình “ứng dụng chưa xác minh” này. Để biết thêm thông tin về việc những thay đổi này có thể tác động đến các nhà phát triển và người dùng Apps Script như thế nào, bạn có thể vào trang tài liệu ở đường link sau: developers.google.com/apps-script/guides/client-verification.

Những lời nhắc nhở người dùng với ngôn ngữ cảnh báo trong phần cấp quyền OAuth cho Apps Script.

Hơn nữa, các Apps Script chủ động bảo vệ người dùng khỏi các ứng dụng lừa đảo theo những cách khác nhau nữa. Người dùng sẽ thấy những lời nhắc nhở với ngôn ngữ cảnh báo họ rằng “cân nhắc xem bạn có tin tưởng” ứng dụng nào đó, cũng như biểu ngữ xác định các trang web và form mẫu do người dùng khác tạo ra, trước khi cấp quyền truy cập OAuth.

Biểu ngữ xác định nội dung của Apps Script.

Mở rộng biện pháp bảo vệ cho các ứng dụng hiện tại

Trong những tháng tới đây, Google sẽ tiếp tục tăng cường các biện pháp bảo vệ người dùng bằng cách mở rộng quy trình xác minh, không chỉ với những ứng dụng mới tạo ra, mà còn cả các ứng dụng hiện tại. Như một phần trong quá trình mở rộng này, các nhà phát triển của một số ứng dụng hiện tại có thể sẽ được yêu cầu phải trải qua quá trình xác minh.

Để đảm bảo quá trình chuyển đổi diễn ra suôn sẻ, Google khuyến cáo các nhà phát triển xác minh lại thông tin liên lạc của họ. Trong mục Google Cloud Console, các nhà phát triển cần đảm bảo rằng các tài khoản phù hợp do họ kiểm soát sẽ được cấp quyền như người sở hữu dự án hoặc có vai trò như nhà quản trị tài khoản.

Trong phần quản lý API, các nhà phát triển phải đảm bảo rằng cấu hình màn hình chấp thuận OAuth của họ là chính xác và đã được cập nhật.

Với việc tăng cường các biện pháp bảo mật như trên, Google kỳ vọng sẽ giúp thúc đẩy một hệ sinh thái lành mạnh cho cả người dùng và nhà phát triển. Những thông báo mới này sẽ tự động cho người dùng biết nếu họ có thể đang gặp rủi ro, cũng như cho phép họ ra các quyết định sáng suốt để giữ thông tin của mình an toàn, và giúp các nhà phát triển tạo ra và kiểm tra ứng dụng dễ dàng hơn.

Theo Google Developer Blog