J'étais juste en train de parcourir le Liste des autorisations pour les développeurs Android et j'ai remarqué que la plupart des permissions du compte ont disparu - en fait, tout sauf GET_ACCOUNTS comme il semble. Qu'est-ce que cela signifie, quelles sont les implications pour l'utilisateur final - et qu'est-ce qui s'est passé d'autre (à part le fait qu'il n'y a pas d'autre solution) ? pratiquement pas de INTERNET plus de permission) ?
Comme d'habitude, j'ai essayé mon meilleur Google-Fu mais je n'ai trouvé aucune réponse. Au lieu de cela, des questions sans réponse demandant la même chose. Je ne peux pas le dire avec de meilleurs mots que celles-ci :
Marshmallow a supprimé plusieurs autorisations de compte, notamment MANAGE_ACCOUNTS et USE_CREDENTIALS, mais a conservé GET_ACCOUNTS. Je n'ai pas vu beaucoup de documentation sur ce que cela signifie pour l'utilisateur en pratique, cependant. Je suppose que l'application qui crée un compte peut automatiquement l'utiliser/gérer. Cependant, si une application tierce veut se connecter avec un compte Google/Facebook/etc. qu'elle a créé, elle ne peut pas l'utiliser. no créer :
- Doit-il toujours demander mon interaction/approbation lors du premier accès/de la première utilisation de chaque compte, ou peut-il utiliser mes comptes automatiquement maintenant ?
- Si je refuse l'autorisation GET_ACCOUNTS, l'application peut-elle encore me demander de me connecter avec un compte de mon Nexus ? Ou dois-je accorder à l'application l'autorisation de visualiser tous mes comptes pour qu'elle puisse en utiliser un ?
De plus, si l'accès aux comptes est toujours protégé (ce que j'espère !), quelle autorisation le protège maintenant ?
Questions connexes (dont les réponses pourraient devoir être mises à jour maintenant) :
- Que signifie l'autorisation "MANAGE_ACCOUNTS" ?
- Que peut faire une application avec l'autorisation "UTILISER LES COMPTES SUR L'APPAREIL" ?
- Dans Android 6, comment refuser à une application la permission d'accéder au réseau ?
- Que signifient les autorisations des applications Android ?
Synthèse des informations recueillies dans les commentaires (nettoyés)
Les détails suivants sont apparus dans les commentaires. Ils ne répondent pas à ma question, mais donnent des indications précieuses - c'est pourquoi je les inclus dans ma question (crédits donnés à leurs auteurs) :
- "il y a pratiquement pas de
INTERNETpermission" : Elle est toujours là, mais accordée automatiquement à chaque application. Aucun moyen de la révoquer avec les outils/réglages embarqués. C'est pourquoi j'ai fait un lien vers Dans Android 6, comment refuser à une application la permission d'accéder au réseau ? ci-dessus. Pourquoi c'est important ? Voir ci-dessous. -
Dan Brown fait remarquer que l'accès aux comptes est désormais lié à une certaine
_CONTACTSpermission. En effet, l'utilisation d'une application pour "se connecter avec Google" invite : "Autoriser X à accéder à vos contacts ?"
Il n'est pas clair si vous accordez uniquement l'accès en lecture (ce qui est déjà assez grave) ou même l'accès en écriture. Ainsi, même une application de stockage dans le nuage (comme Dropbox, Mega, etc.) peut désormais accéder à vos contacts.INTERNETdevient un cauchemar pour la vie privée.
Comme il est maintenant évident que cette partie des autorisations de compte a été transférée aux contacts (bravo à Dan pour l'indication !), j'aimerais vraiment lire quelques détails à ce sujet : comment cela a été changé, pourquoi cela a été changé, quelles sont les implications, comment y faire face.
Mise à jour : Comme la dernière version de l'application SE ne nécessite plus d'accéder aux contacts, Dan a créé une question dédiée à cette application sur le Meta principal, qui pourrait valoir la peine d'être vérifiée : Comment fonctionne le nouveau système d'identification pour l'application Android ? En bref, ils utilisent une nouvelle version du "Google Sign In SDK", qui ne nécessite plus l'accès aux contacts. Comme cela ne concerne que Google Sign-In, cela ne répond pas à ma question, cependant. - Dan a également souligné que les applications utilisent leurs propres gestionnaires de compte. C'était déjà le cas avant le MM - et la raison pour laquelle il y a eu la
MANAGE_ACCOUNTSautorisation (voir ci-dessus) : ils ont enregistré leur service auprès d'Android, afin que d'autres applications puissent l'utiliser. - Comme je l'ai déjà mentionné dans ma question,
GET_ACCOUNTSest la seule autorisation de compte qui subsiste. Elle était déjà requise avant MM, et sert probablement toujours le même objectif : pour utiliser un compte, notre application doit d'abord savoir qu'il existe - elle doit donc obtenir une liste des comptes disponibles pour commencer. Si quelque chose a changé à cet égard, veuillez l'indiquer dans vos réponses.
1 votes
@DeathMaskSalesman
GET_ACCOUNTSétait déjà nécessaire auparavant (pour accéder à un compte, il faut d'abord le trouver). Mais maintenant, comme Dan Brown l'a correctement souligné, une application a besoin du (LIRE ? ÉCRIRE ?)_CONTACTSla permission d'utiliser un compte - ce qui me fait dresser les cheveux sur la tête. Si les gens soutiennent encore qu'avec les versions récentes d'Android, l'accès à la racine est de plus en plus obsolète, ce seul élément est un contre-argument clair. Je n'utiliserai certainement pas MM+ sur un appareil qui n'est pas rooté, car la protection via Xprivacy & Co est encore plus obligatoire maintenant.0 votes
Note : Une partie de la question des comptes est couverte par La réponse de Dan Brown ici en attendant.