확인되지 않은 앱

개요

Unverified apps
확인되지 않은 앱

제타위키 구글 로그인에서 다음과 같은 경고가 나온다는 제보를 받았다.

그동안, 구글 로그인과 페북 로그인을 문제없이 오랫동안 써왔기에 생소한 화면이었다.
일단 사용자 입장에서는 "고급"을 클릭하고, "zetawiki.com(으)로 이동(안전하지 않음)"을 클릭하면, 다시 나타나지 않는다고 한다.

원인

운영자 입장에서는 그대로 둘 수 없기 때문에 윈인과 해결방법을 찾아보았다.
웹사이트의 OAuth API도 보안을 강화하기 위해 검증과정을 추가한 것으로 보인다.^[1]

해결방법(진행중)

구글 개발자 콘솔^[2]의 OAuth 동의 화면( https://console.cloud.google.com/apis/credentials/consent )에 접속하여 내용을 기입한 후 제출하여 검토를 요청하였다.

애플리케이션 이름^[3]: Zetawiki
애플리케이션 로고^[4]: (로고 이미지)
지원 이메일^[5]: xxx@example.com
Google API의 범위^[6]: email, profile, openid
승인된 도메인^[7]: zetawiki.com
애플리케이션 홈페이지 링크^[8]: https://zetawiki.com
애플리케이션 개인정보처리방침 링크^[9]: https://zetawiki.com/wiki/%EC%A0%9C%ED%83%80%EC%9C%84%ED%82%A4:%EA%B0%9C%EC%9D%B8_%EC%A0%95%EB%B3%B4_%EC%A0%95%EC%B1%85
[제출하여 확인받기] 클릭

이력

2019-10-21 제출
2020-01-18 확인 중(마지막으로 승인된 동의 화면이 계속 사용됨)
- (OAuth 동의 화면) "신뢰성 및 보안팀에 양식이 접수되었습니다. 필요한 경우 사용자의 연락처 이메일을 통해 연락을 드릴 것입니다. 검토 절차는 최대 4~6주가 걸릴 수 있습니다. 마지막으로 승인된 동의 화면이 계속 사용됩니다."
- (앱 수정 클릭시) "동의 화면을 확인하는 중입니다. 이 과정은 최대 몇 주가 걸릴 수 있습니다. 마지막으로 승인된 동의 화면이 계속 사용됩니다."
2020-04-17 확인 중
- 신뢰성 및 보안팀에 양식이 접수되었습니다. 필요한 경우 사용자의 연락처 이메일을 통해 연락을 드릴 것입니다. 검토 절차는 최대 4~6주가 걸릴 수 있습니다. 마지막으로 승인된 동의 화면이 계속 사용됩니다.
2020-07-15 확인 중
- 1) 처리상태 확인방법: https://myaccount.google.com/security-checkup 에서 '제3자 액세스'에 대상 앱이 있고 앱 세부정보를 확인할 수 있다. ★ '확인되지 않은 개발자'로 보인다.
- 2) 범위(scope)가 민감하거나(sensitive) 제한된(restricted) 범위에 해당되는지 다시 검토해봤는데, 해당없는 것으로 보인다.^[10]
- 3) 외부에서 접근이 되지 않는 개발서버를 제거하고, 용도란에 '웹사이트 회원가입 및 로그인을 위한 OAuth 사용'라고 기입하여 제출하였다(제출하여 확인받기).

같이 보기

구글 개발자 콘솔

참고

https://support.google.com/cloud/answer/7454865 Unverified apps
https://support.google.com/cloud/answer/9028764?hl=en OAuth Application Rate Limits
https://developers.google.com/terms/api-services-user-data-policy Google API Services User Data Policy
https://okky.kr/article/407304 구글 로그인 시도시 확인되지 않은 앱 은 왜뜨는건가요 ?
https://www.clien.net/service/board/cm_nas/13776908 구글 로그인 api 적용 후 확인되지 않은 앱이라 뜹니다.

↑ http://conf.dailysecu.com/news/articleView.html?idxno=22321 구글 문서 피싱 공격 방지 위해 보안 강화한다
↑ https://console.developers.google.com
↑ 동의를 요청하는 앱의 이름
↑ 사용자가 앱을 알아보는 데 도움이 되는 동의 화면의 이미지입니다.
↑ 사용자 지원을 위해 동의 화면에 표시됩니다.
↑ 범위를 통해 애플리케이션에서 사용자의 비공개 데이터에 액세스할 수 있습니다. 캘린더 또는 드라이브에 대한 전체 액세스 권한을 부여하는 민감한 범위를 추가하는 경우에는 Google에서 동의 화면을 확인한 후에 게시됩니다.
↑ 나와 내 사용자를 보호하기 위해 Google에서는 OAuth로 인증하여 승인된 도메인을 사용하는 애플리케이션만 허용합니다. 애플리케이션의 링크가 승인된 도메인에서 호스팅되어야 합니다.
↑ 동의 화면에 표시됩니다. 승인된 도메인에서 호스팅해야 합니다.
↑ 동의 화면에 표시됩니다. 승인된 도메인에서 호스팅해야 합니다.
↑ https://support.google.com/cloud/answer/9110914 OAuth API verification FAQs

[1] ttp://conf.dailysecu.com/news/articleView.html?idxno=22321 구글 문서 피싱 공격 방지 위해 보안 강화한다

[2] ttps://console.developers.google.com

[3] 동의를 요청하는 앱의 이름

[4] 사용자가 앱을 알아보는 데 도움이 되는 동의 화면의 이미지입니다.

[5] 사용자 지원을 위해 동의 화면에 표시됩니다.

[6] 범위를 통해 애플리케이션에서 사용자의 비공개 데이터에 액세스할 수 있습니다. 캘린더 또는 드라이브에 대한 전체 액세스 권한을 부여하는 민감한 범위를 추가하는 경우에는 Google에서 동의 화면을 확인한 후에 게시됩니다.

[7] 나와 내 사용자를 보호하기 위해 Google에서는 OAuth로 인증하여 승인된 도메인을 사용하는 애플리케이션만 허용합니다. 애플리케이션의 링크가 승인된 도메인에서 호스팅되어야 합니다.

[8] 동의 화면에 표시됩니다. 승인된 도메인에서 호스팅해야 합니다.

[9] 동의 화면에 표시됩니다. 승인된 도메인에서 호스팅해야 합니다.

[10] ttps://support.google.com/cloud/answer/9110914 OAuth API verification FAQs

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]