Coroczny koszt oceny bezpieczeństwa aplikacji przez Google to nawet… 300 tys. zł

Dla prawidłowego wprowadzenia w temat, na początek wróćmy na chwilę do ogłoszenia Google, o którym już pisaliśmy, a według którego od 30 maja nie będzie możliwe już logowanie się w zewnętrznych klientach poczty hasłami do aplikacji. Wymagane tu będzie dwuskładnikowe uwierzytelnianie. Więcej szczegółów w tym artykule podlinkowanym poniżej:

Zapowiedź ta spotkała się z niezrozumieniem i niedopowiedzeniami w sieci, które próbował ostatnio rozwiać jeden z ekspertów z supportu Google (link). Twierdzi on, że hasła do aplikacji nadal będą działać.

Co innego jednak można wyczytać ze stron usług na kontach użytkowników Google. Widać powyżej, iż ta opcja zostanie wyłączona 30 maja. Co więcej, na kontach bez włączonej dwuskładnikowej autoryzacji opcja ta już jest niedostępna. Tak więc nie wydaje mi się, aby od czerwca dało się jeszcze zalogować w takich klientach poczty.

Sprawdzałem to sam w tekstowym kliencie poczty Mutt - zalogowałem się do serwerów IMAP Google loginem i hasłem i na koniec proszony byłem o hasło do aplikacji. Od 30 maja nie będzie to możliwe, według komunikatu Google.

Wracając do autora klienta poczty Pegasus Mail (Pegasus Mail via Hacker News), pisze on, że zaimplementował on dwuskładnikowe uwierzytelnianie bezpośrednio w aplikacji, dzięki temu jej użytkownicy nie musieliby, co przecież upierdliwe, wklepywać przy każdym logowaniu hasła aplikacji.

Czytaj dalej poniżej

Mimestream - natywny klient poczty Gmail na macOS, który potrafi więcej niż Gmail Grzegorz Ułan

Klient poczty e-mail - oto najlepsze aplikacje Grzegorz Ułan

Jednak z chwilą publikacji kodu aplikacji w konsoli Google odbił się od komunikatu mówiącego, iż z uwagi na to, że korzysta on z własnych serwerów do obsługi poczty Gmail, musi przejść płatną ocenę bezpieczeństwa aplikacji wykonaną przez specjalistów Google i udostępnienia filmiku na YouTube pokazującego w działaniu kod zgłaszanej aplikacji.

Tu oczywiście pojawia się pytanie, które przewija się w dyskusji na Hacker News, dlaczego korzysta przy uwierzytelnianiu użytkowników z własnych serwerów, zamiast zastosować rozwiązanie zaproponowane przez Google (link), przez co mógłby uniknąć tej oceny bezpieczeństwa.

Nie wiem czy to z uwagi na pomyłkę autora przy zgłaszaniu aplikacji w konsoli Google, czy rzeczywiście korzysta z własnych serwerów, niemniej z komunikatu Google dowiadujemy się, że taka ocena bezpieczeństwa - co ważne coroczna, kosztuje od 10 tys. dolarów do nawet 75 tys. dolarów. W wyjątkowych sytuacjach, przy mniejszych aplikacjach koszt ten wynosi 4,5 tys. dolarów, ale i tak trzeba ją zapłacić niezależnie od tego czy przejdzie ten audyt pozytywnie, czy nie.

To przekracza możliwości twórcy Pegasus Mail i zmuszony on będzie zaprzestać wspierania kont Gmail w swojej aplikacji.

Z jednej strony to zrozumiałe ze strony Google, jednak jednocześnie przykre w kontekście tego, iż programista ten dowiedział się o tym dopiero przy publikacji swojej aplikacji, a więc jak twierdzi po setkach frustrujących godzin spędzonych nad stworzeniem działającego rozwiązania OAUTH2 dla poczty Gmail.

Osobiście sam korzystałem z Pegasus Mail w czasach początków internetu w Polsce, kiedy to nie było jeszcze tak wiele alternatyw do obsługi poczty e-mail. Mam nadzieję przez to, że jego twórcy uda się jednak rozwiązać ten problem i pozostawi to wsparcie Gmaila swoim użytkownikom, którzy wiernie do tej pory trwali przy tym kliencie poczty, no i wspierali też dobrowolnymi datkami.