(G Suite Developers(英語)に同じ内容が投稿されています)投稿者: Naveen Agarwal(ID チーム)Google では先ごろ、OAuth 認証のインフラストラクチャを不正使用しようとするフィッシング攻撃からユーザーを保護するための
対応 (英語) を行いました。
このような問題を今後発生させないようにするため、現在この取り組みを強化しています。この対応に伴い、トラブルが発生する可能性や、ウェブ アプリケーションを公開できるようになるまでに通常より多くの時間が必要となる場合があるため、計画を立てたうえで業務を進行することをおすすめします。
アプリ ID ガイドラインの更新Google API ユーザー データ ポリシー (英語) に記載されているとおり、ユーザーに誤解を与えるようなアプリがあってはなりません。たとえば、アプリには固有のアプリ名を付け、他のアプリの名前を付けるべきではありません。
このポリシーをさらに強化するため、Google ではアプリ公開プロセス、リスク評価システム、ユーザー向けの同意ページを更新して、なりすましに使用されているアプリケーション ID や誤解を与えるアプリケーション ID の検出に努めています。この変更に伴い、Google API コンソール、Firebase console、Apps Script エディタのいずれかで新規アプリケーションを登録する際や既存のアプリケーションの属性を変更する際に、エラー メッセージが表示される場合があります。
ユーザーデータをリクエストするウェブアプリに関する新しいレビュー プロセスと制限事項Google では、ユーザーデータをリクエストするウェブ アプリケーションのリスク評価も強化しました。
このリスク評価に基づき、一部のウェブ アプリケーションについては手動でのレビューが必要となります。レビューが完了するまで、ユーザーはデータに対する権限を承認できません。また、権限に関する同意ページの代わりにエラー メッセージが表示されます。アプリを一般公開するため、試験段階でレビューをリクエストすることができます。レビューは 3 ~7 営業日以内に完了するよう努めており、将来的には、登録段階でもレビューをリクエストできるようにする予定です。
アプリの承認前であっても、Google API コンソールでそのプロジェクトのオーナーまたは編集者として登録されたアカウントでログインして、テストを目的として引き続きアプリを使用することができます。これにより、レビュー プロセスを開始するだけでなく、テスターを追加することができます。
デベロッパーの方が自社のアプリケーションからユーザーデータへのアクセス権をリクエストする際には、デベロッパーの責任について書かれた
以前の投稿 (英語) をご覧いただくことをおすすめします。Google のチームは、ユーザーやユーザーデータを安全に保護する、強力かつ有益なデベロッパー エコシステムをサポートする取り組みを継続してまいります。
本ブログの原文(英語)は、
こちらをご覧ください。
-
