(Publicación cruzada de G Suite Developers) Publicado por Naveen Agarwal, equipo de identidadesRecientemente tomamos
medidas inmediatas para proteger a los usuarios de un ataque de suplantación de identidad (phishing) que intentó dañar la infraestructura de autorización de OAuth.
Ahora redoblamos esos esfuerzos a fin de impedir estos tipos de problemas en el futuro. Estos cambios pueden generar ciertas complicaciones y demorar la publicación de sus aplicaciones web, por lo que le recomendamos que tenga en cuenta esta información al momento de planificar su trabajo.
Actualización de los lineamientos de identidad de las aplicaciones Tal como lo exige nuestra
Política de datos del usuario de la API de Google, las aplicaciones no deben engañar a los usuarios. Por ejemplo, los nombres de las aplicaciones deben ser exclusivos y no deben repetirse.
Con el objetivo de reforzar la implementación de esta política, y para detectar con mayor efectividad las identidades de las aplicaciones que sean engañosas o estén falsificadas, actualizamos los procesos de publicación de aplicaciones, los sistemas de evaluación de riesgos y la página de consentimiento a la que tienen acceso los usuarios. A raíz de este cambio, es posible que aparezca un mensaje de error cuando registre nuevas aplicaciones o modifique los atributos de las aplicaciones existentes en la Consola de la API de Google, en la de Firebase o en el editor de Google Script.
Nuevos procesos de revisión y restricciones para las aplicaciones web que solicitan los datos del usuarioTambién mejoramos nuestra evaluación de riesgos para las nuevas aplicaciones web que soliciten los datos del usuario.
En función de esta evaluación de riesgos, algunas aplicaciones web requerirán una revisión manual. Hasta que la revisión no se haya completado, los usuarios no podrán aprobar los permisos de datos y, en lugar de la página del consentimiento de los permisos, aparecerá un mensaje de error. Si desea que la aplicación esté abierta al público, puede solicitar una revisión durante la fase de prueba. Intentaremos procesar esas revisiones en un plazo de 3 a 7 días hábiles. Más adelante, también habilitaremos las solicitudes de revisión durante la fase de registro.
Si desea continuar usando su aplicación con fines de prueba antes de que esta se apruebe, acceda con una cuenta que haya registrado como propietario o editor de ese proyecto en la Consola de la API de Google. De esta forma, podrá iniciar el proceso de revisión y agregar verificadores adicionales.
También recomendamos que los programadores revisen
nuestra publicación anterior, ya que describe cuáles son nuestras responsabilidades cuando se solicita el acceso a los datos del usuario desde sus aplicaciones. Nuestros equipos continuarán esforzándose por brindar un ecosistema de programadores que sea útil y eficaz, y que proteja a los usuarios y sus datos.
