Google объявила о закрытии социальной сети Google+. Трудно найти техническое издание, которое бы не упомянуло хотя бы вскользь о конце амбиций Google в области социальных сетей. Но, увы, вниманием обходится высокая связность сервисов компании добра. В этой статье я хотел бы выразить свои размышления на тему того, как взаимодействуют сервисы гугла внутри и что может означать закрытие G+ для пользователей API сервисов Google.
Для конечного пользователя переход от Gmail в Photos, а оттуда в Docs должен быть максимально бесшовным — с первого взгляда сервисы независимы и объединены единым, отполированным до блеска сервисом-точкой входа Single Sign-On accounts.google.com. Но мы как разработчики знаем, что слова «закрыть», «поглотить», «интегрировать» несут за собой больше смысла (и больше работы) для людей, которые занимаются разработкой продукта, чем может показаться на первый взгляд. Разберём поверхностно, как устроен процесс поглощения гуглом одного из внешних сервисов и что происходит с API сервиса и API Google.
Google+:что это такое и для чего он нужен | SEMANTICA
accounts и userID
Помимо пользователей, которые пользуются Gmail и иногда догадывались о существовании Google Plus, есть ещё и огромное количество API для разработчиков, которые пронизаны насквозь такими понятиями, как идентификатор аккаунта, пресловутый userID. userID — это внутренний идентификатор Google, именно та вещь, которая даёт сервисам Google понять, кто есть кто, и является тем самым, что связывает все внутренние сервисы между собой. Он появляется во многих API, и мы видим, что он неизменен от сервиса к сервису.
Возьмём пример поглощения внешнего сервиса компанией Google
Очевидно, что для имплементации SSO в только что поглощённом сервисе нельзя просто взять и перенести аккаунты из старой базы в новую «базу аккаунтов Google» — думаю, просто не существует такого понятия, — есть множество переплетённых между собой сервисов, уровней взаимодействия, цепочек ответственности, сервисов по управлению сервисами. Серьёзно, если задуматься, то должно быть много, много, очень много уровней связей между сервисами Google для того, чтобы всё работало.
Но дальше всё идёт не так гладко — в стремлении к популяризации G+ она использовала userID пользователей, которые являются частью глобального SSO сервиса.
Вернёмся к тезису. Возникает потребность внести правки в существующий API со стороны как поглощаемой стороны API, так и со стороны других сервисов, которые теперь могут начать работать с новым сервисом. Казалось бы, ничего сверхсложного — адаптировать существующую базу пользователей сервиса к «общегугловским» сервисам, создать точки взаимодействия с другими сервисами, чтобы они могли использовать новый сервис для своих целей. Но речь идёт не о маленьких проектах — корпорация добра не мелочится и поглощает многомиллионные компании, у которых, вполне вероятно, уже налажена инфраструктура — иначе они не смогли бы вырасти до своих масштабов. Значит, имеет смысл оставить его кодовую базу, вернее, ядро сервиса, и переделать input-output каналы связей сервиса, чтобы они стали совместимыми с гугловскими.
Закрыли гугл плюс
Далее сервис становится сервисом Google. Допустим, что на этот момент он уже оттестирован и считается достаточно благонадёжным людьми из Google, отвечающими за интеграцию. Начинается самое интересное — сервис можно интегрировать в другие сервисы и/или переносить из сервиса в сервис.
В целом это не было бы страшно, если бы не тенденция гугла менять прописку сервисов.
Возьмём к примеру фотографии.
Picasa десктоп приложение (2002) => Picasa Web Albums — Google приобретает Picasa (2004) => Google Plus инкорпорирует Picasa (2011) => Google Photos отделяется от G+ (2015) => .
Учитывая инертность процессов интеграции, в большинстве продуктов Google до сих пор поддерживает весьма старые API. На момент публикации статьи до сих пор работает API Picasa с тех времён, когда Picasa была отдельным продуктом. То есть мы приходим к выводу, что, когда Google интегрировала Picasa с очередным своим сервисом, она «создавала branch» от оригинала и оставляла на произвол судьбы старый «бранч», но не закрывала его API.
И тут самое время вспомнить о причине закрытия G+. Заявлено о проблемах с безопасностью, на самом же деле вероятных проблем с безопасностью может быть ещё больше, в связи с неконсистентностью разных API.
proof of concept
К примеру, когда-то был сервис PicasaWeb, такой себе предок современных Google Photos. Его выключили ещё в 2016-м году. Но согласно приписке в конце поста — API сервиса продолжило свою работу аж до сих пор. Уже есть конечная дата работы этого API — 15 марта 2019. Этот сервис примечателен тем, что позволял получить соответствие емейла и внутреннего userID.
Как нам это может быть полезно?
Например, мы сервис верификации емейлов. В этом случае это API для нас просто манна небесная. Мы, зная Google Account ID из G+, можем получить имя пользователя, фотографию и часто разнообразную дополнительную информацию. Вопрос в том, что обычно узнать userID человека невозможно, если он, к примеру, не залогинится у нас на сайте.
Но в старом PicasaWebAlbums люди могли публиковать фото в веб-альбомах, которые привязывались к емейлу. Собственно, из этого следует вывод, что старое API позволяет получить профиль человека по userID или email пользователя.
Нельзя сказать, что так можно вытащить персональную информацию человека, если он явно её не опубликовал, но для массовой валидации списков рассылки такое API было очень даже уместно
Как эта дыра возможность связана с закрытием G+? Выводы
Google называет основной причиной закрытия G+ проблемы безопасности, точнее, возможность сторонним сервисам получать информацию из G+ путями, не совсем предназначенными и запланированными изначально самим Google.
Сейчас, кроме закрытия G+, происходит частичное закрытие разных API. Например, для доступа к gmail.api теперь нужно проходить платный аудит стоимостью от 15 до 75к USD, что делает это API недоступным для большинства разработчиков. Цитата:
The assessment fee is paid by the developer and may range from $15,000 to $75,000 (or more) depending on the size and complexity of the application.
По факту, это даёт нам повод подумать, что Google запутался в системе взаимодействия между сервисами, раз для того, чтобы те действия, которые раньше было можно совершать, просто получив нужный scope, теперь требуют ручной валидации за 15–75k USD и ручного включения в whitelist. Остаётся только догадываться, что ещё можно делать, используя недокументированные фичи более чем богатой на сервисы экосистемы Google и сервиса SSO в частности.
Для того, чтобы качественно валидировать списки рассылки, нам по прежнему нужно будет искать новые нестандартные применения публичных API, поэтому мы продолжим изучать API GoogleFacebook и других сервисов. (Кстати, у Facebook до недавнего времени был схожий способ валидации емейлов.)
- google api
- безопасность
- google plus
- Информационная безопасность
- JavaScript
- Google API
Источник: habr.com
Что случилось с Google+?
Все мы наверняка слышали о Google+, которая появилась в 2011 году. Ее основной фишкой стали круги (circles), которые позволяли объединяться в одно сообщество людям с общими интересами. Многие считали ее перспективной социальной сетью, но в 2018 году у нее были найдены серьезный дыры в безопасности и уже через год сервис был закрыт для обычных пользователей. Теперь Google+ используют только сотрудники компании. В нашем материале мы попробуем разобраться, почему Google+ была слишком крутой социальной сетью для своего времени.
К сожалению, Google+ появился не в свое время
Как появилась социальная сеть Google+
На волне взлета Twitter в 2011 году Google объявила о запуске Google+. Предшественником был сервис Google Profiles, где каждый пользователь мог добавить информацию о себе. Помню как сейчас, что все активные в русскоязычном пользователи Twitter писали о нем чуть ли не в каждом своем твите.
С момента появления Google+ в конце июня или поделиться ссылкой. Чтобы упомянуть человеку, за которым вы следуете, то просто напишите «+» и первые буквы его имени. Вам будет предложен список из наиболее подходящих вариантов. Внизу этой формочки вы сможете добавить пользователя или «круг». Так же, если вы хотите пригласить вашего друга, то просто впишите его адрес электронной почты и через несколько минут он сможет тоже пользоваться Google Plus.
Что касается тем, то они в себе объединяют все новости, статьи и обзоры из Google News, что делает поиск, того, либо иного материала простым и удобным.
Что касается Google Talk, то вы можете писать сообщения вашему собеседнику, разговаривать с ним, если у вас есть микрофон, а так же делать видео звонки. Не лишним будет упомянуть, что в чат можно добавить несколько друзей.
Если у вас фотографии в сервисе Picasa, то вы сможете ими поделиться и даже отредактировать их встроенными фильтрами. Так же есть возможность отметить, кто присутствует на, той, либо иной фотографии, что очень удобно и практично.
Но, на самом деле интереснее всего делать видео звонки, с помощью функции «Видеовстреч», которая позволяет собрать всех ваших друзей в одном месте. Если нет веб камеры, то это не беда, можно так же общаться по микрофону. Возникает вопрос, а можно ли устраивать большие видео конференции и бесплатно ли это? Да, можно и это абсолютно бесплатно. Но, на этом не заканчивается функционал «видеовстреч», так как вы можете вместе смотреть видеоролики с YouTube и обсуждать самые интересные новости и события из вашей жизни и не только.
Если вам захочется создать, удалить «круги», то просто перейдите в нужную категорию и сделайте это. В Google Plus реализован метод Drop and Drag, что делает эту социальную сеть удобной и простой. А, если вам захочется отредактировать профиль или добавить фотографии, то просто перейдите в соседнюю категорию.
Вот так Google и создает новые и замечательные сервисы. И на данный момент эта социальная сеть, самая лучшая среди ныне существующих, так как в ней очень легко общаться.
Источник: appleinsider.ru