Pregunta sobre UpdraftPlus WordPress Backup Plugin de Wordpress:

Solicita acceso completo a G-drive – Risk Hack and Sabotage

Un usuario pregunt贸 馃憞

El plugin solicita derechos administrativos completos para todas las unidades G. Junto con el creador de la aplicaci贸n, dio una respuesta inconsciente de por qu茅 se requer铆a acceso completo. https://wordpress.org/support/topic/google-drive-permissions/#post-11620744 100% de riesgo de seguridad total.

NO INSTALAR. SI EST脕 INSTALADO EN REALIDAD, DESMONTE.

Esta aplicaci贸n requiere permiso para acceder a todo en su Google Drive. Podr谩 hacer las mismas cosas que usted, incluyendo:

Ver sus archivos Cargar y descargar sus archivos Eliminar sus archivos Ver los nombres y correos electr贸nicos de las personas con las que comparte archivos Compartir y dejar de compartir sus archivos con otras personas Eliminar personas de sus archivos Organizar su Drive

(@davidanderson)

Hace 1 a帽o, 5 meses

Hola Julia,

Ver sus archivos Cargar y descargar sus archivos Eliminar sus archivos Ver los nombres y correos electr贸nicos de las personas con las que comparte archivos Compartir y dejar de compartir sus archivos con otras personas Eliminar personas de sus archivos Organizar su Drive鈥 Podr谩 haz las mismas cosas que puedes hacer

Ese no es realmente el caso. UpdraftPlus es de c贸digo abierto, se instala en su sitio web y, seg煤n el protocolo OAuth2 implementado en UpdraftPlus, su sitio web solo tiene el token de acceso necesario para realizar acciones. Dado que no hay c贸digo en UpdraftPlus (que puede ser verificado por cualquier persona, es de c贸digo abierto, no especificado, de acuerdo con las reglas del plugin de wordpress.org) no haga nada m谩s que cargar y descargar copias de seguridad, nadie puede de estas cosas pasan. (隆Y wordpress.org nos pondr铆a en el bonito espacio exterior de inmediato si ese no fuera el caso!).

Como se indica en el enlace anterior, la API de Google Drive (https://developers.google.com/drive/api/v2/about-auth) 1) permite el acceso solo a los archivos creados por la aplicaci贸n, o 2) el acceso a todos los archivos de Drive. Si UD solo solicitara 1), no ser铆a posible trabajar con archivos que el usuario carga manualmente en Google Drive, que es utilizado (por experiencia de soporte) por muchos usuarios. Tambi茅n es necesario para poder eliminar las copias de seguridad importadas a trav茅s de la funci贸n 芦Volver a examinar el almacenamiento remoto禄. Si sabe que nunca necesitar谩 estas funciones, use este dispositivo para restringir el acceso solo a los archivos creados por la carga de UpdraftPlus y luego autorice:

add_filter (‘actualizadorft_googledrive_scope’, function () {return ‘https://www.googleapis.com/auth/drive.files https://www.googleapis.com/auth/userinfo.profile ‘;; });

Nota: el enlace de desarrollador anterior explica que el permiso utilizado por UpdraftPlus se otorga a los desarrolladores de aplicaciones (como el nuestro) si ejecutamos una revisi贸n de seguridad de Google, lo cual hicimos. 隆Espero que eso incluya algo!

鈥溍塴 podr谩 hacerlo鈥 es ambiguo. No especifica qu茅 es 芦eso禄, dejando de lado la posibilidad de que pueda pensar que el equipo de UpdraftPlus puede hacer estas cosas. Como se explic贸 anteriormente, este no es el caso; El protocolo OAuth2 significa que solo una entidad con el token de acceso, es decir, solo el sitio web (su sitio web) con UpdraftPlus instalado, puede acceder a cualquier cosa.

NB usa 芦userinfo.profile禄 para tocar el nombre del propietario de la cuenta (y solo permite que se lea el perfil * p煤blico * del usuario, raz贸n por la cual Google ni siquiera lo bloquea para que no aparezca en su pantalla de autorizaci贸n). Muchos usuarios tienen varias cuentas de Google y desean poder ver m谩s tarde a qu茅 cuenta vincularon el sitio web.

Observo que Google ha introducido el permiso de 芦solo lectura禄 para acceder a los archivos. Cre茅 una tarea en nuestro rastreador de tareas para investigar esto. Si esto se puede usar junto con el permiso para leer archivos creados por UD, podemos deshabilitar el acceso a 芦todos los archivos禄.

Todo lo mejor, David

(@jdembowski)

Moderador del foro y Bruto Squad

Hace 1 a帽o, 5 meses

Muchas cosas est谩n pasando aqu铆. Tambi茅n estoy borrando esa etiqueta, es inflamatorio. Tambi茅n cerr茅 ese otro tema, los usuarios pueden comenzar sus propios temas, entonces, 驴c贸mo funcionan estos foros?

https://wordpress.org/support/plugin/updraftplus/#new-post

DESCARGO DE RESPONSABILIDAD: Soy usuario de la versi贸n comercial de este plugin. Tambi茅n s茅 m谩s que un poco sobre casos de seguridad, permisos de acceso y capacidades de acceso a aplicaciones.

* Bebidas de caf茅 *

Me alegro de que dejemos eso.

@juliaclark Dejo esta revisi贸n en vigor ahora. Eso puede cambiar m谩s tarde despu茅s de alguna conversaci贸n con los otros moderadores. El t铆tulo 芦Solicita acceso completo a G-drive – Hack Risk y sabotaje禄 es inflamatorio y completamente enga帽oso.

Para que OAuth2 funcione, necesita acceso y la respuesta de David es buena.

Esperamos que tome una decisi贸n informada cada vez que ofrezca una aplicaci贸n de terceros como Google, Dropbox, Onedrive, Box, etc. Est谩 permitiendo que un tercero, como usted o la cuenta que haya configurado, acceda a su sitio.

S铆, ese acceso debe minimizarse a lo que se requiere y debe ser. Tal vez eso cambie como sugiri贸 David y esta conversaci贸n deber铆a ser en material de apoyo (raz贸n por la cual esta revisi贸n puede ser archivada). Pero el acceso al plugin se otorga solo en su instalaci贸n. Alguien tendr铆a que arriesgar su sitio primero para continuar con su caso.

驴Est谩 planeando mantener alg煤n plugin que tenga la opci贸n de escribir en el almacenamiento en la nube de terceros responsable de su sitio? Esa es la pregunta ret贸rica de BTW.

Toma decisiones informadas. Si usted o cualquier otra persona tiene un problema con el nivel de acceso que se le otorga, no autorice al plugin de su sitio a acceder a esos datos.

(@davidanderson)

Hace 1 a帽o, 3 meses

@juliaclark

> Observo que Google ha introducido el permiso de 芦solo lectura禄 para el acceso a archivos. Cre茅 una tarea en nuestro rastreador de tareas para investigar esto. Si esto se puede usar junto con el permiso para leer archivos creados por UD, podemos deshabilitar el acceso a 芦todos los archivos禄.

Este cambio se implement贸 y public贸 en julio (versi贸n 1.16.16). Si actualiza y vuelve a autorizar sus sitios, ahora solo solicitar谩 permiso de solo lectura.

驴Solucion贸 tu problema??

0 / 0

Deja una respuesta 0

Tu direcci贸n de correo electr贸nico no ser谩 publicada.