Un usuario preguntó 👇
El plugin solicita derechos administrativos completos para todas las unidades G. Junto con el creador de la aplicación, dio una respuesta inconsciente de por qué se requería acceso completo. https://wordpress.org/support/topic/google-drive-permissions/#post-11620744 100% de riesgo de seguridad total.
NO INSTALAR. SI ESTÁ INSTALADO EN REALIDAD, DESMONTE.
Esta aplicación requiere permiso para acceder a todo en su Google Drive. Podrá hacer las mismas cosas que usted, incluyendo:
Ver sus archivos Cargar y descargar sus archivos Eliminar sus archivos Ver los nombres y correos electrónicos de las personas con las que comparte archivos Compartir y dejar de compartir sus archivos con otras personas Eliminar personas de sus archivos Organizar su Drive
(@davidanderson)
Hace 1 año, 5 meses
Hola Julia,
Ver sus archivos Cargar y descargar sus archivos Eliminar sus archivos Ver los nombres y correos electrónicos de las personas con las que comparte archivos Compartir y dejar de compartir sus archivos con otras personas Eliminar personas de sus archivos Organizar su Drive… Podrá haz las mismas cosas que puedes hacer
Ese no es realmente el caso. UpdraftPlus es de código abierto, se instala en su sitio web y, según el protocolo OAuth2 implementado en UpdraftPlus, su sitio web solo tiene el token de acceso necesario para realizar acciones. Dado que no hay código en UpdraftPlus (que puede ser verificado por cualquier persona, es de código abierto, no especificado, de acuerdo con las reglas del plugin de wordpress.org) no haga nada más que cargar y descargar copias de seguridad, nadie puede de estas cosas pasan. (¡Y wordpress.org nos pondría en el bonito espacio exterior de inmediato si ese no fuera el caso!).
Como se indica en el enlace anterior, la API de Google Drive (https://developers.google.com/drive/api/v2/about-auth) 1) permite el acceso solo a los archivos creados por la aplicación, o 2) el acceso a todos los archivos de Drive. Si UD solo solicitara 1), no sería posible trabajar con archivos que el usuario carga manualmente en Google Drive, que es utilizado (por experiencia de soporte) por muchos usuarios. También es necesario para poder eliminar las copias de seguridad importadas a través de la función «Volver a examinar el almacenamiento remoto». Si sabe que nunca necesitará estas funciones, use este dispositivo para restringir el acceso solo a los archivos creados por la carga de UpdraftPlus y luego autorice:
add_filter (‘actualizadorft_googledrive_scope’, function () {return ‘https://www.googleapis.com/auth/drive.files https://www.googleapis.com/auth/userinfo.profile ‘;; });
Nota: el enlace de desarrollador anterior explica que el permiso utilizado por UpdraftPlus se otorga a los desarrolladores de aplicaciones (como el nuestro) si ejecutamos una revisión de seguridad de Google, lo cual hicimos. ¡Espero que eso incluya algo!
“Él podrá hacerlo” es ambiguo. No especifica qué es «eso», dejando de lado la posibilidad de que pueda pensar que el equipo de UpdraftPlus puede hacer estas cosas. Como se explicó anteriormente, este no es el caso; El protocolo OAuth2 significa que solo una entidad con el token de acceso, es decir, solo el sitio web (su sitio web) con UpdraftPlus instalado, puede acceder a cualquier cosa.
NB usa «userinfo.profile» para tocar el nombre del propietario de la cuenta (y solo permite que se lea el perfil * público * del usuario, razón por la cual Google ni siquiera lo bloquea para que no aparezca en su pantalla de autorización). Muchos usuarios tienen varias cuentas de Google y desean poder ver más tarde a qué cuenta vincularon el sitio web.
Observo que Google ha introducido el permiso de «solo lectura» para acceder a los archivos. Creé una tarea en nuestro rastreador de tareas para investigar esto. Si esto se puede usar junto con el permiso para leer archivos creados por UD, podemos deshabilitar el acceso a «todos los archivos».
Todo lo mejor, David
(@jdembowski)
Moderador del foro y Bruto Squad
Hace 1 año, 5 meses
Muchas cosas están pasando aquí. También estoy borrando esa etiqueta, es inflamatorio. También cerré ese otro tema, los usuarios pueden comenzar sus propios temas, entonces, ¿cómo funcionan estos foros?
https://wordpress.org/support/plugin/updraftplus/#new-post
DESCARGO DE RESPONSABILIDAD: Soy usuario de la versión comercial de este plugin. También sé más que un poco sobre casos de seguridad, permisos de acceso y capacidades de acceso a aplicaciones.
* Bebidas de café *
Me alegro de que dejemos eso.
@juliaclark Dejo esta revisión en vigor ahora. Eso puede cambiar más tarde después de alguna conversación con los otros moderadores. El título «Solicita acceso completo a G-drive – Hack Risk y sabotaje» es inflamatorio y completamente engañoso.
Para que OAuth2 funcione, necesita acceso y la respuesta de David es buena.
Esperamos que tome una decisión informada cada vez que ofrezca una aplicación de terceros como Google, Dropbox, Onedrive, Box, etc. Está permitiendo que un tercero, como usted o la cuenta que haya configurado, acceda a su sitio.
Sí, ese acceso debe minimizarse a lo que se requiere y debe ser. Tal vez eso cambie como sugirió David y esta conversación debería ser en material de apoyo (razón por la cual esta revisión puede ser archivada). Pero el acceso al plugin se otorga solo en su instalación. Alguien tendría que arriesgar su sitio primero para continuar con su caso.
¿Está planeando mantener algún plugin que tenga la opción de escribir en el almacenamiento en la nube de terceros responsable de su sitio? Esa es la pregunta retórica de BTW.
Toma decisiones informadas. Si usted o cualquier otra persona tiene un problema con el nivel de acceso que se le otorga, no autorice al plugin de su sitio a acceder a esos datos.
(@davidanderson)
Hace 1 año, 3 meses
@juliaclark
> Observo que Google ha introducido el permiso de «solo lectura» para el acceso a archivos. Creé una tarea en nuestro rastreador de tareas para investigar esto. Si esto se puede usar junto con el permiso para leer archivos creados por UD, podemos deshabilitar el acceso a «todos los archivos».
Este cambio se implementó y publicó en julio (versión 1.16.16). Si actualiza y vuelve a autorizar sus sitios, ahora solo solicitará permiso de solo lectura.
¿Solucionó tu problema??
0 / 0