שימוש בgmail api בקוד פתוח
-
התחלתי לבדוק את הנושא של שימוש בapi של גימייל. מרפרוף קל ראיתי שיש צורך באימות אפליקציה שנשמר כקובץ היכן שהאפליקציה פועלת.
האם יש סיכון לשימוש לרעה כאשר קובץ האימות הזה מופץ באופן כזה שלכל אחד יש גישה חופשית אליו? -
@הפצת-אנקי כתב בשימוש בgmail api בקוד פתוח:
התחלתי לבדוק את הנושא של שימוש בapi של גימייל. מרפרוף קל ראיתי שיש צורך באימות אפליקציה שנשמר כקובץ היכן שהאפליקציה פועלת.
האם יש סיכון לשימוש לרעה כאשר קובץ האימות הזה מופץ באופן כזה שלכל אחד יש גישה חופשית אליו?בapi של שליחה לפחות, אני הוצאתי סיסמה לאפליקציה, ואיתה אני משתמש, אפשר לשים אותה בקובץ נגיש לכולם, אפשר לשים במסד, אפשר להכניס לתוך הקוד עצמו, כמו כל שמירת טוקן או סיסמה.
-
@צבי-ש
מה שאתה משתמש זה לא ה API של גוגל אלא smtp שזה פרוטקול שליחת מייל שאינו מצריך גישת אפילקציה
לפי מה שידוע לי, שימוש ב API של גוגל מחייב אימות אפליקציהעם זאת, אם @הפצת-אנקי צריך רק אפשרות של שליחת מיילים הוא אכן יכול להשתמש עם smtp
-
@הפצת-אנקי נקוט כלל בידך. כל מה שהתוכנה יכולה לעשות, המשתמש יכול לעשות גם.
כל מידע (שכביכול סודי) שיש בתוכנה או בקוד שלה, חשוף למשתמש (ברמה כזו או אחרת).
אם התוכנה מוגבלת לעשות רק דברים סבירים, גם המשתמש בה ככה.
מה שמקובל בעולם לעשות זה שכבת אפליקציה שיושבת על שרת, והיא זו שמעבירה למייל. (אבל זה לא יעבוד למי שיש מייל בלבד).
בשכבת אפליקציה אפשר לעשות כללים (כמין חומת אש) למנוע התקפות או ניצול חולשות. -
@dovid תפסת את הנקודה!
אני צריך שזה יתאים גם למייל בלבד.
מצד שני אני מוכרח לקוד פתוח.
(אני רוצה ליצור אפשרות לייבוא קבצים מרשימת תפוצה ששולחת בקביעות למייל. כל פעם שמתקבלת הודעה מהרשימה התוכנה אמרוה לבדוק אם יש בה קובץ מסוים ואם כן- לייבא אותו) -
@הפצת-אנקי
אם אני מבין נכון, אתה רוצה שכל משתמש בתוכנה יצטרך לבצע 'כניסה' מהתוכנה לחשבון גימייל שלו, כך שהתוכנה תקבל הרשאה 'לשוטט' לו בחשבון ולשאוב משם את הקובץ.
אם כן, לכאורה זה לא יעבוד למשתמשי מייל בלבד, כיון שאתה בהכרח צורך כאן שירותים נוספים מלבד gmail -
@דאטה-בייס למה?
-
@דאטה-בייס כתב בשימוש בgmail api בקוד פתוח:
כיון שאתה בהכרח צורך כאן שירותים נוספים מלבד gmail
-
@דאטה-בייס במייל בלבד של נטפרי נדמה לי יהיה פתוח השירות של ההרשאה לgmail.
אבל משתמשים לא יבינו כזאת בקשת הרשאה ואולי גם לא יעניקו אותה (כי יש בזה סיכון זעום).@הפצת-אנקי כתב בשימוש בgmail api בקוד פתוח:
מצד שני אני מוכרח לקוד פתוח.
זה לא משנה מאומה קוד פתוח/סגור. בכל מקרה הכל חשוף למחשב ולמשתמש המתחכם.
-
צדיק תמיםהשיב להפצת אנקי ב 2 בפבר׳ 2023, 20:22 נערך לאחרונה על ידי צדיק תמים 2 בפבר׳ 2023, 20:49
@הפצת-אנקי זה שלב מקדים של כניסה לחשבון גוגל, שיופיע רק אם המשתמש לא מחובר לחשבון.
השלב הרלוונטי זה משהו כזה:
כמובן עם שם שתבחר במקום "Google Auth 2.0 Playground".
הנקודה היא שגישת קריאת מיילים (https://www.googleapis.com/auth/gmail.readonly) מוגדרת בגוגל כ"restricted scopes" (שזה הרמה הכי רגישה, יותר מ"sensitive" כמו לוח שנה) שמחייבים לקבל אישור ידני מגוגל ולספק רשימה של דרישות ונימוקים, וקשה לי להאמין שתצליח לקבל אישור בתרחיש שלך.
ולכן כל מי שירצה להשתמש, יופיע לו לפני המסך הנ"ל גם כזה מסך:
ורק תחת "מתקדם" אפשר ללחוץ על "המשך (לא בטוח)". -
@צדיק-תמים זה ככה גם דרך smtp?
-
דאטה בייסהשיב להפצת אנקי ב 2 בפבר׳ 2023, 20:41 נערך לאחרונה על ידי דאטה בייס 2 בפבר׳ 2023, 20:42
@הפצת-אנקי
smtp זה פרוטקול לשליחת דואר אלקטרוני בלבד
אם תספק שם משתמש וסיסמה (בג'ימייל צריך אימות דו שלבי או סיסמה יעודית לאפליקציה) תוכל לשלוח מכל תוכנה שהיא דואר מהחשבון שלך, גם בלי שום אימות
אבל את הפעולה שאתה מבקש לעשות, כמובן לא תוכל לעשות
ברגע שאתה מבקש מתוכנה כל שהיא להיכנס לחשבון דואר ולקרוא הודעות, אתה צריך להרשאה המסקימלית שיש -
צדיק תמיםהשיב להפצת אנקי ב 2 בפבר׳ 2023, 20:43 נערך לאחרונה על ידי צדיק תמים 2 בפבר׳ 2023, 20:44
@הפצת-אנקי כמו שכתבו, SMTP זה פרוטוקול לשליחה בלבד. אולי תבדוק את הכיוון של IMAP.
-
@הפצת-אנקי למה שלא תפתח מייל משלך בגוגל
ואליו תשלח
ואליו תחבר את כל המשתמשים בתוכנה?
מאשר לבקש מכולם לחבר את המייל שלהם לתוכנה? -
@A0533057932 כתב בשימוש בgmail api בקוד פתוח:
@הפצת-אנקי למה שלא תפתח מייל משלך בגוגל
ואליו תשלחהבנתי שזה היה הרעיון הראשון בנושא, אבל הבעיה שמשתמש יכול לעשות במייל הזה שימושים בעייתיים מגוונים.
7/16