Mange mobilapper, webapplikasjoner og annen programvare som tar i bruk de mest sensitive programmeringsgrensesnittene (API) til forbrukerdelen av Googles Gmail-tjeneste, vil slutte å fungere etter den 31. mars. Årsaken er at Google er i ferd med å stramme kraftig inn på hvilke applikasjoner som skal kunne bruke disse API-ene, som gir apper tilgang til blant annet å lese brukernes epost.
Hensikten skal være å unngå skandaler tilsvarende den Facebook hadde med Cambridge Analytica.
Kun til brukerrettet funksjonalitet
Den oppdaterte policyen tredde i kraft allerede den 15. januar, drøyt tre måneder etter at endringen ble varslet. Endringen innebærer blant annet at alle applikasjoner som skal ha tilgang til de aktuelle, begrensede API-en, bare må be om tilganger og data som de faktisk har behov for. Det er kun tillatt å bruke dataene i brukerrettet funksjonalitet, og ikke i forbindelse med for eksempel persontilpassede annonsevisninger.
Her er det verdt å legge til at også Google har sluttet å bruke Gmail-innhold til persontilpassede annonsevisninger. Det skjedde i 2017.
Kostbar sikkerhetsvurdering
Applikasjonsutviklere som ønsker å bruke de aktuelle Gmail-API-ene i én eller flere eksisterende applikasjoner, må be om at applikasjonene blir sikkerhetsvurdert innen den 15. februar for at de ikke skal slutte å fungere den 31. mars. Denne vurderingen vil bli gjort av en tredjepart som Google har valgt, ikke av Google selv.
Det er utviklerne selv som må dekke kostnaden av sikkerhetsvurderingen. Prisen på dette vil typisk ligge i området 15 000 til 75 000 dollar, men kan også være høyere. Det som avgjør prisen, er størrelsen og kompleksiteten til applikasjonen. Prisen inkluderer trolig én revurdering dersom det er behov for det.
Utviklere som har mer én applikasjon som bruker de aktuelle API-ene, må få sikkerhetsvurdert hver av applikasjonene separat.
Hver applikasjon må sikkerhetsvurderes på nytt årlig.
Mindre utvalg?
For brukerne betyr dette at de i større grad kan være sikre på at innholdet de har i Gmail ikke misbrukes.
Ulempen er at det trolig vil bli langt færre applikasjoner tilgjengelig som kan gi Gmail økt eller alternativ funksjonalitet. For eksempel vil programvare for sikkerhetskopiering av epost i Gmail, være berørt, dersom den benytter noen av de aktuelle API-ene.
En årlig ekstrautgift på minst 15 000 dollar kan knekke mange mindre programvareselskaper. The Register har intervjuet flere apputviklere som er berørt av de nye reglene. Flere kritiserer Google for ikke å tilby ulike regler for aktører med ulike forretningsmodeller. Noen av de berørte lagrer ingen data fra brukernes Gmail-konto.
IMAP, POP og SMTP?
I utgangspunktet er tilgang til Gmail via gode, gamle protokoller som IMAP, POP og SMTP underlagt et «scope» kalt «https://mail.google.com/», som er blant de begrensede API-områdene. Det er derfor noe uklart om for eksempel separate epostklienter er omfattet av de nye kravene, da Google tilsynelatende ikke har spesifisert dette.
Likevel, under overskriften «When can I skip submitting my app for a review?» på denne siden, opplyses det at det ikke er nødvendig å få sikkerhetsvurdert appen dersom den ikke deles med noen andre, eller dersom den benytter SMTP-plugins for én enkelt konto.
Applikasjoner som kun aksesserer G Suite-kontoer, skal i utgangspunktet ikke være berørt av disse endringene.
Les også: Facebook utestenger dataselskap tilknyttet Trumps valgkamp