Google w końcu przyłoży się do bezpieczeństwa danych. Wszystko, co musisz wiedzieć o Project Strobe

News/Bezpieczeństwo 09.10.2018
Google w końcu przyłoży się do bezpieczeństwa danych. Wszystko, co musisz wiedzieć o Project Strobe

Google w końcu przyłoży się do bezpieczeństwa danych. Wszystko, co musisz wiedzieć o Project Strobe

Google w końcu się zreflektował nad sposobem, w jaki zarządza naszymi danymi. Nadał tej refleksji nawet nazwę: Project Strobe.

Nie mogę wyjść z podziwu nad tym, co osiągnął Google. Chylę czoła przed jego inżynierami, działem planowania, finansów i marketingu. Firma ta stworzyła bowiem usługi tak wysokiej jakości, że w niektórych przypadkach wręcz trudno już bez nich żyć. Jak bowiem wyciąć z naszego życia Wyszukiwarkę Google, Mapy Google czy YouTube’a? Pewnie, da się. Będzie jednak mniej wygodnie i nieco trudniej.

Korzystamy z tych usług, bo są świetne, bo ułatwiają nam poruszanie się po codzienności. W zamian jednak uzależniamy się od firmy, która żyje z naruszania naszej prywatności i sprzedaży tej informacji każdemu, kto zechce za to zapłacić. Firma w żadnym razie przy tym nie przekracza granic prawa (z paroma wyjątkami…) i w większości przypadków przestrzega tych obowiązujących w danym kraju chroniących prywatność swoich obywateli.

Prawo nie nadążą jednak za cyfrowym światem.

Na dodatek nie zapominajmy o zasadzie chcącemu nie dzieje się krzywda. Jeżeli użytkownik sam i dobrowolnie zgadza się na układ z firmami pokroju Facebook czy Google, to przecież tego użytkownika sprawa. Dlatego też wiążąc się z jakąś usługą cyfrową musimy polegać nie tylko na potwierdzeniu, że ta działa legalnie, ale też wnikliwie czytać jej regulamin, ostrożnie wyrażając zgody na kolejne pytania o przetwarzanie danych. Być może jakiś zapis jest legalny, a dla nas przekraczający granicę tolerancji.

Wiązanie się z tymi usługami wiąże się też niestety z koniecznością udzielenia kredytu zaufania. Legalność i regulamin to jedno, a odpowiedzialność i zaradność to drugie. Musimy wierzyć, że firma nie tylko nie łamie prawa i nie kłamie, ale też odpowiednio chroni nasze dane przed niepowołanym dostępem – a więc przed cyberwłamywaczami, oszustami czy innymi podmiotami działającymi ponad prawem.

Project Strobe to wysiłek mający na celu zwiększenie naszego zaufania do Google’a.

To również audyt bezpieczeństwa, jaki został przeprowadzony przez firmę. Miał on sprawdzić, jak usługi Google’a zbierają dane, czemu użytkownicy nie wyrażają zgody na ich przetwarzanie, w jaki sposób i przez jakie API dane te są udostępniane podmiotom trzecim i czy zawsze przy pełnej zgodzie użytkownika.

Wnioski z Project Strobe zostały przedstawione w tym samym momencie, co wieść o zamknięciu usługi Google+ w związku z wykrytą w niej usterką związaną z zabezpieczeniami danych klienta. Zamkniecie Google+ to pierwszy z wniosków wyciągniętych z tego audytu. I tak, wiem, mało kogo on obchodzi, bo mało kto korzystał z tej usługi społecznościowej. Na szczęście są też inne wnioski – o większym praktycznym znaczeniu.

Znikają nieczytelne monity o pozwoleniu na przetwarzanie danych. Wszystko będziemy musieli zatwierdzić ręcznie.

Jeżeli jakaś aplikacja potrzebowała do swojego działania wykorzystać nasze dane – na przykład wpisy z kalendarza, maile w Gmailu oraz historię lokalizacji – moduł naszego Konta Google wyświetlał wszystkie prośby o autoryzacje na jednym ekranie, z prośbą o ich zatwierdzenie bądź odrzucenie. Teraz, podobnie jak u znacznie bardziej odpowiedzialnej konkurencji spod znaku Microsoftu i Apple’a, dostęp do każdego rodzaju danych będziemy musieli zatwierdzać osobno.

project strobe

To oznacza większą niewygodę – wszak czeka nas więcej puknięć palcem czy klików myszką. Będziemy mogli jednak od razu zdecydować, jeżeli zajdzie taka potrzeba, że dana aplikacja może mieć dostęp do danego zbioru danych, ale już nie może do innego. To zmiana bardzo na plus i dogonienie standardu wyznaczonego przez konkurencję.

Ograniczenie Gmail API wyłącznie do aplikacji, które są aplikacjami pocztowymi.

Od tej pory API zapewniające dostęp do naszej poczty Gmail będzie udostępniane wyłącznie tym aplikacjom, których celem faktycznie jest obsługa naszej poczty. Mogą to być pocztowe aplikacje klienckie, programy do porządkowania maili, narzędzia do produktywności wysyłające e-maile (na przykład aplikacje CRM) czy narzędzia do wykonywania kopii zapasowych poczty. Ciekawa zmiana i decyzja, która brzmi logicznie.

Bardziej restrykcyjne zasady związane z API do połączeń głosowych, SMS-ów i kontaktów.

W niedalekiej przyszłości tylko aplikacja do połączeń głosowych ustawiona w systemie jako domyślna będzie miała dostęp do API połączeń głosowych. Podobnie tylko wybrana jako domyślna aplikacja do wiadomości tekstowych będzie miała dostęp do SMS API. Od tej zasady będą obowiązywać wyjątki, jeżeli te będą zasadne – w przypadku chociażby takich aplikacji, jak te do wykonywania kopii zapasowych czy do obsługi poczty głosowej.

Dodatkowo, z API do kontaktów zniknie możliwość pobierania przez aplikację informacji o ostatnich interakcjach z danym kontaktem. A więc, na przykład, komunikator internetowy nie będzie mógł wyświetlić na górze listy kontaktów, z którymi wchodziliśmy ostatnio w interakcję inną drogą.

Ograniczeń ma być więcej. Pytanie jak ściśle będą te zasady przestrzegane.

Google opisał wszystkie wyżej wskazane zmiany w swoich zasobach dla deweloperów. Zapewnił też, że to nie koniec wniosków wyniesionych z Project Strobe i że mamy się spodziewać dalszych modyfikacji API. Moje wnioski? Cóż, dopóki mówimy o technicznym ograniczaniu jakiegoś API – patrz chociażby ograniczenie tego do kontaktów – lub o rozwiązaniach systemowych, a więc nowej planszy zatwierdzania uprawnień: nie możemy mieć żadnych wątpliwości. Będzie nieco mniej wygodnie, ale za to bezpieczniej. To dobrze. Kropka.

Mam jednak nieco wątpliwości w kwestii zmian dotyczących samej polityki przyznawania dostępu do API. A to będzie przyznawane uznaniowo. Żadna niedomyślna aplikacja nie ma dostępu do SMS API, chyba że służy do kopii zapasowych. I trudno mieć mi za złe wątpliwości w kwestii umiejętnego rozpoznawania celu tych aplikacji, skoro w Sklepie Play co rusz pojawiają się programy i gry zainfekowane złośliwym oprogramowaniem.

Dołącz do dyskusji

Advertisement