Google automatisiert die Annullierung von OAuth-Tokens

OAuth 2.0 – erhöhte Gmail-Security dank Token-Annullierung
Kommentare

Google hat eine Verbesserung der Sicherheit von Gmail-Enterprise-Konten angekündigt. Ab dem 5. Oktober 2016 werden OAuth 2.0 Tokens automatisch gelöscht, wenn Nutzer ihr Passwort ändern.

OAuth 2.0 ist der De-facto-Standard der Clientauthentifizierung bei APIs und wird von den Großen im Business – Facebook, Twitter, Google & Co. – verwendet. Ist man Google-Nutzer hat man bei vielen Third-Party-Applikationen die Möglichkeit, sich mit seinem Google-Account anzumelden – im Prinzip eine sichere und problemlose Lösung, die dem User viel Komfort bietet. Ende August hat Google jedoch eine der Möglichkeiten zur Umsetzung von solchen OAuth-Requests in Embedded Browsern (Web-Views) eingestellt.

Mehr Sicherheit durch Token-Annullierung

In Kürze folgt nun eine weitere Änderung, die diesmal Gmail-Enterprise-Konten betrifft: Ab dem 5. Oktober werden OAuth 2.0 Tokens unter bestimmten Voraussetzungen automatisch gelöscht. Betroffen sind Nutzer, die in einer Google-Apps-Domain (also bei Apps mit einer Gmail-basierten Authentifizierung) ihr Passwort ändern. In diesem Fall werden alle OAuth 2.0 Tokens annuliert. User, die keine Passwortänderung vornehmen, sind nicht betroffen.

Ist ein Token annulliert, lässt sich darüber nicht länger auf die Ressourcen eines Nutzers zugreifen. Jeder Versuch, den annulierten Token in einem API Call zu benutzen, erzeugt einen Fehler. Zu betroffenen Third-Party Mail-Apps gehören beispielsweise Apple Mail und Thunderbird sowie mobile Mail-Apps.

Entwickler sollten betroffene Apps vorbereiten

Michael Winser, Product Lead von Google Apps, und Wesley Chun, Developer Advocate von Google Apps, empfehlen Entwicklern im offiziellen Blogpost ihre Apps auf das Handling von HTTP 400 und 401 Error Codes vorzubereiten. Nutzern solle nahegelegt werden, den OAuth-Prozess erneut durchzuführen und die Apps nochmal zu authentifizieren.

Sicher keine erfreuliche Sache, allerdings weniger einschneidend als die Pläne, die noch im Dezember 2015 im Raum standen. Der damalige Vorschlag sah bei Passwortänderungen eine weitaus dramatischere Annullierung der Synchronisation von Google Apps und Services vor.

Laut den Google-Verantwortlichen sei diese sogenannte „token revocation“, also die Annullierung von Tokens, kein neues Feature. Nutzer wären schon immer in der Lage gewesen, den Zugriff auf Applikationen im Sicherheitscheck zu widerrufen. Die gleiche Möglichkeit haben Google App Admins in der Admin Console.

Mehr Token-Annullierungen als früher

Die aktuelle Änderung in Googles Security Policy wird jedoch mit großer Wahrscheinlichkeit zu der vermehrten Annullierung von Tokens in Applikationen führen, da dieser Prozess in einigen Fällen automatisch ausgelöst wird.

Betroffen von der Token-Annullierung sind lediglich Apps, die die sogenannten „Gmail scopes“ nutzen. Apps Script Tokens und Apps, die über den Google Apps Marketplace installiert wurden, sind ebenfalls nicht betroffen.

This change emphasizes that token revocation should be considered a normal condition, not an error scenario. Your application should expect and detect the condition, and your UI should be optimized for restoring tokens.

Weitere Anleitungen für Entwickler zum Handling von annullierten Tokens durch Apps gibt der oben verlinkte Blogpost.

Aufmacherbild: charnsitr / Shutterstock.com

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -