Негизги алып салуулар
- Бүгүн баштап бардык Google Play колдонмолору милдеттүү түрдө тамактануу стилиндеги купуялык энбелгисин көрсөтөт.
- Энбелги колдонмонун уруксаттарын жана купуялык саясатын жакшыраак түшүндүрүүгө арналган.
- Энбелгинин иштеп чыгуучу кошкон мазмуну колдонмолордун адамдарды адаштыруусуна жол ачышы мүмкүн, дейт айрымдар.
Google'дун Play Store'догу жаңы Маалымат коопсуздугу бөлүмүндө купуялык боюнча эксперттер экиге бөлүнгөн.
Бүгүндөн баштап Google Play Дүкөнүндөгү колдонмолор маалыматты чогултуу жана бөлүшүү тажрыйбалары тууралуу маалыматты милдеттүү түрдө бөлүшүшү керек, алар жаңы Маалыматтын коопсуздугу бөлүмүндө тизмеленет. Бирок, кээ бир адамдар байкагандай, Google эми адамдар Google тарабынан түзүлгөн купуялык уруксаттарынын эски тизмесине эмес, иштеп чыгуучу тарабынан берилген бул купуялуулукка ишенет деп күтөт.
"Биз колдонуучуларды маңыздуу тартуу үчүн программалык камсыздоо тутумунун өзү ишенимди жаратышы керек экенин билебиз жана бул максатта алар тарабынан жасалган бардык аракеттер, анын саясаты катары өзүн-өзү ачыкка чыгарууну көрсөткөн колдонмо дүкөнү тарабынан кыскартылат ", - Вук Яношевич, башкы директор купуялык программасын сатуучу Blindnet Lifewireге электрондук почта аркылуу билдирди."Эгерде иштеп чыгуучулар кандай маалыматтарды жана кандай максатта чогултуп жатканын өздөрү жарыялоосу керек болсо, суроо туулат: Google шайкештикти жана тууралыкты камсыз кылуу үчүн эмне кылат?"
Кыянаттык үчүн ачык
Google май айында Дайындардын коопсуздугу бөлүмүн чыгара баштаган жана аны адамдарга тизмеленген колдонмолордун маалымат чогултуу саясаттарын көбүрөөк көрүүгө мүмкүнчүлүк берүү жолу катары сунуштаган. Google муну биринчи жасаган жок, Apple ушул сыяктуу нерсени 2020-жылдын декабрында чыгарган.
Жаңы бөлүм колдонмо кандай маалыматтарды чогултарын жана үчүнчү тараптар менен бөлүшөрүн ачыктайт. Ал ошондой эле колдонмонун коопсуздук ыкмаларын жана анын иштеп чыгуучулары чогултулган дайындарды коргоо үчүн колдонгон коопсуздук механизмдерин деталдаштырып, адамдарга, мисалы, колдонмону колдонууну токтоткондо, иштеп чыгуучудан чогултулган дайындарын жок кылууну сурануу мүмкүнчүлүгү бар же жок экенин айтып берет.
Бирок, Google иштеп чыгуучуларга так маалымат берүүсүнө ишенбестен, автоматтык түрдө түзүлгөн колдонмо уруксаттарынын эски тизмесин да жок кылат. Иштеп чыгуучу тарабынан берилген чоо-жайга көңүл буруу айрым купуялык адистерине туура келбейт.
"Учурда керектөөчүлөр онлайн системаларга терең ишенишпейт, - деди Яношевич. "Компаниялар жана алардын колдонмолору жаман адам эмес экенин далилдеп, кардарларынын ишенимине ээ болуу үчүн кошумча миля басып өтүшү керек."
Яносевич бул өзгөртүү иштеп чыгуучуларга өз ниетин туура эмес көрсөтүп, колдонуучулары тууралуу алар айткандан да көбүрөөк маалымат топтоо мүмкүнчүлүгүн ачат дегенге кошулат.
"Бирок менимче, бул жердеги эң чоң маселе, Google тарабынан бул эрежелерди жөнгө салуу жана ишке ашыруудагы жана сактоону коомчулукка жарыялоодогу кандайдыр бир ийгиликсиздик акыры колдонуучулардын базарга жана ал жердеги тиркемелерге болгон ишенимин кетирүү коркунучу бар", - деп эсептейт Яношевич..
Туура жол
Джефф Уильямс, CTO жана Contrast Security компаниясынын тең негиздөөчүсү, уруксаттар тизмесин жок кылганга караганда, өзүн өзү тастыктаган купуялык энбелгилерине өтүү маанилүү экенин айтты.
"Бул программалык камсыздоо рыногунда программалык камсыздоону керектөөчүлөрдүн жана өндүрүүчүлөрдүн кызыкчылыктарын тең салмактуулуктун эң жакшы жолу, - деди Уильямс Lifewireге электрондук почта аркылуу. "Менимче, бул жана Сингапурда жана Финляндияда программалык камсыздоонун коопсуздук белгилери сыяктуу башка аракеттер., чынында эле маанилүү."
Тамактануу стилиндеги энбелгилерге өтүүнү мактап, Уильямс колдонуучулардын басымдуу көпчүлүгү сырдуу уруксаттар тизмесине көп көңүл бурушкан эмес жана жөнөкөй энбелгилер колдонуучунун тандоосун калыптандырууда натыйжалуураак деп ырастайт. ар кандай башка өнүмдөрдүн арасында байкалган.
Уильям Google колдонмонун уруксаттарын автоматтык түрдө тизмелеп беришин каалаган адамдарга боор ооруйт, бирок жаңы системанын кыянаттык менен пайдаланылышы күмөн деп эсептейт. Анын айтымында, ким алдаса, ал чакырып же тыюу салынышы мүмкүн, анткени дал келбестиктерди табуу кыйын эмес.
"Бул кадам колдонуучулар колдонмолорго кандайдыр бир кооптуу уруксаттарды колдонууга уруксат берүү үчүн калкыма терезелерди ала турган фактыны өзгөртпөйт, - деп түшүндүрдү Уильямс. "Бул маалыматты чындап кам көргөн ар бир адам ала алат."
Мындан тышкары, ал жаңы схема дагы эле үчүнчү тараптын кароосуна жол берерин, өзгөчө OWASP Мобилдик Колдонмонун Коопсуздук Текшерүү Стандартын (MASVS) көрсөтүп, колдонмолорду алардын уруксаттарынан тышкары бир нече коопсуздук аспектилерин да кылдат текшере алаарын белгиледи.
"Балким, качандыр бир күнү биз ишенимдүү булактан, балким, Google'дан, балким, башка бирөөдөн [Play Store'го орнотулган] үчүнчү тараптын энбелгилерине ээ болобуз", - деди Уильямс. "Бирок мен азырынча эң сонун энбелгилерди жактырам. карапайым адамдарга алар колдонгон колдонмолор алардын дайындарын кантип коргой турганын түшүнүүгө жардам берет."
