50 万用户隐私泄漏后,Google 根治 JavaScript 脚本窃取数据!
日前,有媒体曝光了 Google 旗下产品 Google+ 存在漏洞,或导致 50 万用户账号数据泄露。对此,Google 于 10 月 8 日发布博文表示,将在未来十个月里永久关闭 Google+ 的消费者版本。同时承认该漏洞早已于 2015 年就出现,今年 3 月才被发现且修复,之所以未向外界披露,是因为担心会引起监管部门审查且让公司声誉受损。
针对这一事件带来的不良影响,Google 为保护 Google 账户于今天宣布了新的安全规范。
今天,据外媒 ZDNet 报道,Google 宣布了四项用于保护 Google 帐户的新安全措施。这四个更新旨在加强用户登录帐户之前和之后的保护,但也适用于在黑客攻击后恢复的情况。
根据 Google 产品经理 Jonathan Skelker 的说法,Google 今天推出的第一项保护措施在用户开始输入用户名和密码之前就已生效。
在即将到来的未来,Skelker 表示,如果用户在浏览器中禁用 JavaScript,Google 将不允许用户登录帐户。
原因是 Google 使用 JavaScript 对访问登录页面的用户进行风险评估检查,如果 JavaScript 被禁用,那么黑客可能不会被检测到。
根据 Google 测试发现,这一变化只会对很少的一部分用户有影响。
第二个新的安全功能与用户可能已在手机上安装的恶意 Android 应用程序相关。
Google 计划从官方 Google Play Android 应用程序附带的安全扫描程序 Google Play Protect 中提取数据,并列出仍安装在用户 Android 智能手机上的所有恶意应用程序。
这些信息将在未来几周内显示在 Google 帐户的 Google 安全检查部分中,尽管有人认为此信息应在用户登录其 Google 帐户后立即展现在用户的屏幕上,以便用户可以尽快采取措施。
第三项新功能与用户过去授予访问 Google 帐户数据权限的第三方应用和网站相关。
“当您向第三方网站或应用授予访问敏感信息(如 Gmail 数据或 Google 联系人)时,我们会通知您,在接下来的几周内,当您基于 Google 账号分享任何数据时,我们会提示通知您。“Skelker 在今天发布的博客文章中解释道。
与之前的功能一样,Google 计划在安全检查部分列出所有可以访问用户 Google 数据的第三方应用和网站。
最后一项但并非最不重要的是,Google 计划在帐户入侵后启用的安全功能。目前,这一功能已经存在,是重新获得访问权限并重新保护受损配置文件的一套新程序。
这一流程在 Google 支持页面中有详细说明,除了帮助用户重新获得帐户访问权限外,还可以帮助他们查看与 Google Pay 帐户相关的财务活动、查看添加到 Gmail 或云端硬盘的新文件、以及保护其他服务的其他帐户与主要 Google 帐户绑定的内容。
原文:https://www.zdnet.com/article/google-wont-let-you-sign-in-if-you-disabled-javascript-in-your-browser/
作者:Catalin Cimpanu
编译:屠敏
推荐阅读: