Halaman ini diterjemahkan oleh Cloud Translation API.

Mengamankan Tindakan

Halaman ini mendokumentasikan cara Gmail mengamankan pengiriman dan eksekusi tindakan.

Prosedur Keamanan yang diberlakukan oleh Google

Kondisi berikut harus berlaku untuk skema yang disematkan di email:

Pendaftaran: Pengirim harus Mendaftar ke Google.
SPF atau DKIM: Email dengan markup skema harus berasal dari domain yang diautentikasi SPF atau DKIM

Tindakan Tambahan yang diperlukan untuk Tindakan In-Line

Tindakan keamanan tambahan diperlukan atau disarankan untuk mengamankan tindakan inline:

HTTPS: Semua tindakan harus ditangani melalui URL HTTPS. Host harus menginstal sertifikat server SSL yang valid.
Token Akses: Dianjurkan agar pengirim yang menggunakan tindakan menyematkan Token Akses Terbatas dalam URL tindakan, untuk melindungi diri dari Serangan Ulang. Secara umum, ini adalah praktik yang baik untuk setiap URL yang disematkan di halaman web atau email yang mungkin memiliki efek samping saat dipanggil.
Otorisasi Pembawa: Dianjurkan agar layanan yang menangani permintaan tindakan memverifikasi header "Otorisasi" Http dalam permintaan HTTPS. Header tersebut akan berisi string "Bearer Token", yang membuktikan bahwa sumber permintaan adalah google.com, dan permintaan tersebut ditujukan untuk layanan yang ditentukan. Layanan harus menggunakan library open source yang disediakan Google untuk Memverifikasi Token Pembawa.

Mengamankan Pola Akses Email Edge-Case

Ada berbagai varian pola akses dan penerusan email yang ditangani Gmail untuk mengamankan tindakan dalam email. Pengukuran berikut dilakukan SELAMA langkah di atas:

Pola Akses	Tindakan Keamanan Tambahan
Penerusan Manual - Pengguna membuka email dan meneruskannya ke lebih banyak penerima	Penerusan tersebut selalu melanggar tanda tangan DKIM, dan pengirim tidak lagi terdaftar di layanan. Tindakan dalam email ditolak.
Penerusan Otomatis ke Gmail - Pengguna membuat aturan penerusan di kotak surat user@acme.com ke kotak surat gmail-nya.	Gmail memverifikasi bahwa pengguna dapat mengirim sebagai pengguna@acme.com (pengguna menyiapkannya secara manual). Tindakan dalam email disetujui.
Pengambilan POP Gmail - Pengguna memberikan sandi kepada Gmail untuk pengguna@acme.com dan pengambil Gmail semua email di sana melalui POP ke kotak masuk Gmail.	Tanda tangan DKIM dan integritas konten dipertahankan. Pengguna telah terbukti memiliki akses ke user@acme.com. Tindakan dalam email diterima.
Mengakses email Gmail dengan aplikasi pihak ketiga - Pengguna Gmail menggunakan aplikasi pihak ketiga (misalnya Outlook atau Thunderbird) untuk mengakses email Gmail, atau meneruskan email Gmail ke penyedia email lain.	Aplikasi atau layanan pihak ketiga mungkin menggunakan informasi yang disematkan. Namun, metode tersebut tidak dapat membuat token autentikasi pemilik yang cocok dengan milik Google, sehingga pengirim memiliki kesempatan untuk menolak permintaan tindakan tersebut. Pengirim dapat memilih apakah mereka menolak atau menerima tindakan tanpa token pemilik, bergantung pada sensitivitas tindakan tersebut. Perhatikan bahwa token otorisasi pembawa dibuat menggunakan teknologi open source standar yang memungkinkan semua penyedia email dan aplikasi untuk membuatnya menggunakan kuncinya sendiri.