Инженеры Google рассказали о четырех новых механизмах безопасности, которые будут использоваться улучшения для защиты пользователей.

Первый механизм направлен на борьбу с headless-браузерами и ботами, он не позволит войти в учетную запись Google, если в браузере отключен JavaScript. Headless-браузеры часто использую такие настройки для улучшения производительности, тогда как настоящие пользователи отключают JavaScript крайне редко, по данным Google, таковых насчитывается лишь 0,01%. Разработчики объясняют, что эта мера связана с тем, что во время входа в учетную запись оценка рисков осуществляется именно посредством JavaScript, и если он отключен, злоумышленник может проскользнуть незамеченным.

Второй механизм призван бороться с малварью, которая может быть установлена на Android-устройстве пользователя. Планируется, что данные о вредоносах, установленных на устройстве, будут браться из сканера Google Play Protect, а потом эта информация будет доступна пользователю прямо на странице проверки безопасности аккаунта Google Security Checkup.

Третий механизм связан со сторонними приложениями и сайтами, которым пользователь ранее выдавал разрешение на доступ к своей учетной записи. Разработчики пишут, что всегда предоставляли пользователям информацию о том, какие сторонние приложения и сайты имеют доступ к таким чувствительным данным в Gmail или Google Contacts. Но в ближайшие недели пользователей начнут уведомлять о любых выданных разрешениях, связанных с их аккаунтом Google. Как и раньше, это информацию можно будет найти в разделе Security Checkup.

Четвертый механизм представляет собой основательно переработанную процедуру восстановления скомпрометированного аккаунта и обеспечения его безопасности заново. Пользователи смогут не только вернуть себе доступ, также им будет предложено проверить финансовую активность, связанную с Google Pay, просмотреть файлы, добавленные за время компрометации в Gmail и Drive, и оценить безопасность других учетных записей, привязанных к основному аккаунту Google. Новую версию процесса восстановления можно увидеть на анимации ниже.

5 комментариев

  1. dicto

    01.11.2018 at 19:09

    И как теперь в Торе логиниться?

    • Goo19

      02.11.2018 at 05:13

      Легко. Если нужен анонимный вход в гугл пропускай трафик через тор/впн или тор/ssh и дальше с обычного браузера с джаваскриптами. Только утечки IP через webRTC и им подобные не забудь прикрыть. Профит.

  2. urban66

    03.11.2018 at 00:53

    С Тора Gmail не дает зайти, начинается карусель с смсками, бесконечными капчами, сменами пароля и блокировкой акка. Понятно, что 99% всей слежки у них построена на жаваскрипте и неизвестных уязвимостях в их же браузере.

  3. emeliyanov

    04.11.2018 at 16:25

    Это было бы нормально, если бы их API выдавали полную информацию. Скажем, инфа о hangouts приставках не включала в себя их MAC-адреса и устройства аудиовывода, посему для получения этой инфы приходилось как раз прикидываться lynx и парсить данные из GUI. Теперь это будет невозможно.

  4. gwindlord

    06.11.2018 at 00:43

    Headless-браузеры еще для функционального тестирования вроде как используют, так что если в веб-приложении есть Google SSO, получается, можно прощаться со своими селениумами и кукумберами 🙂

Оставить мнение