Panikmache macht Panik: Wenn ich einen Onlinedienst mit meinem GMail Konto verknüpfe, hat der Onlinedienst Zugriff...

Originally shared by Kristian Köhntopp

Panikmache macht Panik: Wenn ich einen Onlinedienst mit meinem GMail Konto verknüpfe, hat der Onlinedienst Zugriff auf meine Mail https://netzpolitik.org/2018/google-gibt-externen-firmen-zugriff-auf-gmail-konten-von-nutzern/

Genauer: Wenn ich irgendwo Authenticate with Google anklicke, dann wird ein OAuth2 Token mit Rechten dran generiert. Normal sollte das Basic Account Info Rechte anfragen. Es kann jedoch nach mehr Rechten fragen und das ist mitunter dreist Read Gmail. Wenn man so was ohne lesen und denken abnickt, hat man danach einer Anwendung - Oh Wunder! - das Recht gegeben, die eigene Mail durchzulesen.

Ein Besuch von https://security.google.com und dort der erste Punkt Security Checkup helfen: Das Token ist zurückziehbar, das Paßwort hat den Account nie verlassen. Die Onlineanwendung hat natürlich Gelegenheit gehabt, alle Mail zu kopieren, die zu diesem Zeitpunkt im Account war.

Oder noch besser: man geht zu https://myaccount.google.com/permissions und dort Punkt für Punkt alles selber durch.

Merke: OAuth2 Dialoge weg klicken ist dämlich.
https://netzpolitik.org/2018/google-gibt-externen-firmen-zugriff-auf-gmail-konten-von-nutzern/

3 Kommentare:

Serafina “McGyver” Kopp hat gesagt…

Link geht nicht mehr :/

Thomas Mertens hat gesagt…

Danke für den Hinweis.

Serafina “McGyver” Kopp hat gesagt…

Gern :)

Kommentar veröffentlichen