Azioni di protezione

Questa pagina descrive in che modo Gmail protegge la distribuzione e l'esecuzione delle azioni.

Misure di sicurezza applicate da Google

Per gli schemi incorporati nelle email devono essere soddisfatte le seguenti condizioni:

• Registrazione: il mittente deve registrarsi su Google.
• SPF o DKIM: le email con markup dello schema devono provenire da domini autenticati SPF o DKIM

Misure aggiuntive richieste per le azioni in linea

Per proteggere le azioni in linea sono necessarie o consigliate misure di sicurezza aggiuntive:

• HTTPS: tutte le azioni devono essere gestite tramite URL HTTPS. Gli host devono avere installato certificati server SSL validi.
• Token di accesso: è consigliabile che i mittenti che utilizzano le azioni incorporino token di accesso a uso limitato negli URL delle azioni per proteggersi dagli attacchi di replay. Si tratta di una buona pratica generale per qualsiasi URL incorporato in pagine web o email che potrebbe avere effetti collaterali quando viene richiamato.
• Autorizzazione Bearer: è consigliabile che i servizi che gestiscono le richieste di azioni verifichino l'intestazione HTTP "Authorization" nella richiesta HTTPS. L'intestazione conterrà una stringa "Bearer Token", che dimostra che l'origine della richiesta è google.com e che la richiesta è destinata al servizio specificato. I servizi devono utilizzare la libreria open source fornita da Google per verificare il token di tipo Bearer.

Protezione dei pattern di accesso alle email in casi limite

Esistono varie varianti di inoltro email e modelli di accesso che Gmail gestisce per proteggere le azioni nelle email. Le seguenti misurazioni vengono eseguite IN AGGIUNTA a quelle sopra indicate:

Pattern di accesso	Misure di sicurezza aggiuntive
Inoltro manuale: l'utente apre un'email e la inoltra ad altri destinatari	Questo tipo di inoltro danneggia sempre le firme DKIM e il mittente non è più registrato al servizio. Le azioni nell'email sono rifiutate.
Inoltro automatico a Gmail: l'utente crea una regola di inoltro nella casella postale user@acme.com alla sua casella postale Gmail.	Gmail verifica che l'utente possa inviare email come utente@acme.com (l'utente configura questa impostazione manualmente). Le azioni nell'email sono accettate.
Recupero POP di Gmail: l'utente fornisce a Gmail la password per user@acme.com e Gmail recupera tutte le email tramite POP nella posta in arrivo di Gmail.	Le firme DKIM e l'integrità dei contenuti vengono mantenute. L'utente ha dimostrato di avere accesso a user@acme.com. Le azioni nell'email sono accettate.
Accesso alle email di Gmail con applicazioni di terze parti: l'utente di Gmail utilizza un'applicazione di terze parti (ad es. Outlook o Thunderbird) per accedere alle email di Gmail o inoltra le sue email di Gmail a un altro provider di posta.	L'applicazione o il servizio di terze parti potrebbe utilizzare le informazioni incorporate. Tuttavia, non sarà in grado di produrre token di autenticazione bearer che corrispondano a quelli di Google, dando ai mittenti la possibilità di rifiutare tali richieste di azione. I mittenti possono scegliere se rifiutare o accettare le azioni senza token di autenticazione, a seconda della sensibilità dell'azione. Tieni presente che il token di autorizzazione bearer viene creato utilizzando tecnologie open source standard, il che consente a tutti i provider di posta e le app di produrli utilizzando le proprie chiavi.