Google : bientôt des connexions SSL obligatoires sur les API de Google
Document List, Google Spreadsheet et Google Sites
À partir du 15 septembre prochain, Google imposera aux développeurs qui utilisent certaines de ses API de soumettre leurs requêtes avec des connexions chiffrées par le protocole SSL. Il s'agit d'une première étape d'un plan visant à sécuriser l'accès aux données de toute la panoplie de services du géant de la recherche en ligne.
Les API de Google Document List, Google Spreadsheet et Google Sites ne répondront plus aux appels avec le protocole HTTP. Comme les adresses des ressources ne changeront pas, il suffit de remplacer le HTTP par HTTPS dans toutes les URL des applications.
D'après Adam Feldman de l'équipe des développeurs de Google, aucune manipulation en ce sens n'est requise par les développeurs qui utilisent les dernières versions de Google Data Client libraries pour interroger les API.
Ces versions fournissent des couches d'abstraction open-source qui forcent désormais l'usage du SSL quand le protocole est disponible. Les Google Data Client libraries sont disponibles pour Java, JavaScript, .NET, PHP, Python et Objective-C.
Pour ses autres API, Google n'envisage pas pour le moment d'imposer l'usage du SSL mais le « recommande vivement ». Google a commencé par ces trois APIs, expliquant qu'elles sont celles qui totalisent le plus de connections chiffrées.
Google s'intéresse particulièrement aux connexions sécurisées. Gmail utilise par défaut et depuis des années SSL, ce protocole est aussi optionnel pour les recherches depuis l’année passée et obligatoire pour Google Docs.
Le support de SSL pour la version 3 des API de Google Maps, préalablement réservé aux comptes Premium, est désormais possible pour tous les utilisateurs.
Si Google fait figure de bon élève en matière de sécurisation des services, il a fallu attendre l'affaire Firesheep pour que d'autres grosses pointures du web (dont Facebook et Twitter) adoptent ces mêmes connexions chiffrées.
Source : le Blog officiel de Google
Et vous ?
Utilisez-vous toujours des connexions non chiffrées avec les API de Google ?
Que pensez-vous de la décision de rendre SSL obligatoire ?
Partager