W kontekście wszelkiego typu uprawnień zawsze należy „trzymać rękę na pulsie”

Ostatnimi czasy dzięki consent mode v2 temat uprawnień stron a także aplikacji często się przewija. Dbamy o uprawnienia w różnego typu CMS`ach, CRM`ach czy wewnątrzfirmowych aplikacjach.

Jednak bardzo często właściciele stron nie dbają o uprawniania do ich witryn w takich miejscach jak Gogle Search Console, Google Analytics czy Google Tag Manager.

Bardzo często ktoś pracuje nad daną witryną tylko jakiś naprawę krótki czas ale uprawniania zostają na lata. Dlatego zawsze gdy zaczynam prace nad nową witryną pytam Właściciela o każdą osobę z uprawnieniami.

I naprawdę często kogoś usuwam.

Ostatnimi czasy Google umożliwiło zapanowanie nad uprawnieniami w Google Search Console. Co więc co musimy zrobić by je usunąć…

Może od początku…

Gdy chcemy by ktoś miał uprawnienia do witryny w narzędziach Google musimy nadać uprawniania na konto w Google.

W Google Search Console może być to zrobione na wiele sposobów:
– plik HTML,
– tag HTML,
– uprawniania dziedziczone z GA,
– uprawienia dziedziczone z GTM,
– rekord w strefie DNS.

Po nadaniu uprawnień jednym z tych sposobów konto staje się „Właścicielem”. Tak zweryfikowane konto ma najwyższy poziom uprawnień.

Później. gdy chcemy komuś te uprawnienia zabrać to w Gogole Search Console wchodzimy w Ustawienia później „Użytkownicy i uprawnienia”.
Klikamy w menu rozwijane i odbieramy dostęp.

I wielu ludzi uważa, że jest koniec – sprawa załatwiona.

Niestety nie bo zostały jeszcze dane weryfikacyjne i takie konto może bez problemu przywrócić sobie uprawnienia.
Ba, czasami to samo Google przywraca uprawnienia, widziałem to wiele razy gdy usuwałem stronę ze swojego GSC a później znowu ją widziałem na liście.

Należy więc usunąć token weryfikacyjny zgodnie z metodą weryfikacji czyli plik, tag, uprawnienia GA, GTM czy rekord DNS.

W poprzedniej wersji GSC można było wejść na historię weryfikacji, dokładnie sprawdzić kiedy dane konto się weryfikował i jaką metodą.

Po przejściu przez Google na nowa wersję i usunięciu historii tak naprawdę została nam zabrana wiedza jak ktoś był weryfikowany. Nie ułatwiało to niestety sprawy.

W tym miesiącu wreszcie Google udostępnił informację o nieużywanych tokenach co w dużym stopniu wspomoże usuwanie uprawnień.

Nie, w dalszym ciągu nie można po prostu zabrać uprawnień i finito. Dalej musimy usunąć metodę weryfikacji ale teraz mamy przynajmniej informacje o tym a także tester usunięcie.

Wróciła także historia własności czyli możemy sprawdzić kiedy i kto był weryfikowany.

Aby sprawdzić lub usunąć uprawienia przechodzimy w Ustawieniach do „Użytkownicy i uprawnienia”.

Tak widzicie nad listą pojawiły się dwa nowe linki „Historia” oraz „Nieużywane tokeny własności”

Odbieramy własność rozwijając menu i klikając „Odbierz dostęp”. Potwierdzamy w kolejnym oknie usunięcie i otrzymujemy następujący komunikat.

Możemy kliknąć Wykonano lub sprawdzić „Jak uniemożliwić odzyskanie dostępu”.

Na razie wybrałem tą pierwszą opcję i jak widzicie przy nieużywanych tokenach pojawiła się liczba 1.

Przechodząc w to miejsce otrzymujemy listę nieużywanych tokenów czyli metod weryfikacji.

Klikamy więc „usuń” i otrzymujemy komunikat

W dolnej części mamy możliwość sprawdzenia usunięcia metody co czynimy.

Jeszcze nic nie zrobiłem, wiec tag weryfikacyjny istnieje.

W kolejnym kroku usunąłem tag i ponownie sprawdzam

Misja zakończona :)

Wydaje się, że nowy mechanizm od Google powinien być dostępny od początku istnienia nowej wersji GSC. Dzięki temu osoba cokolwiek wiedząca o stronie będzie mogła w łatwy sposób zdiagnozować co należy usunąć na stronie by skutecznie odebrać uprawniania.

Podczas pisania tego wpisu zastanawiałem się czy to nie powinno działać tak samo jak odebranie uprawnień w GA. Klikam „usuń” i temat załatwiony.
Nie muszę nic wiedzieć o stronie, metodach autoryzacji tylko usuwam tych, których już takich dostępów mieć nie powinni.

Wydaje mi się że problem jest sama metoda weryfikacji. W GA upraszczając usuwamy wartość z adresem konto z tabeli „uprawnienia”. Tutaj została metoda uwierzytelnienia więc przerobić by trzeba cały mechanizm w Google po to by nie zwracał uwagi na to co jest na stronie.

A przecież po to jest to dodane by w łatwy sposób potwierdzić swoje prawo do witryny. Więc zmienić musiała by się cała filozofia mechanizmu.

Przy okazji sprawdziłem kilkadziesiąt kont i znalazłem parę, na których widać było nieużywane tokeny.

Także na pewno mechanizm się przyda, mam nadzieję, że go nie usuną tak jak w trakcie przechodzenia w poprzedniej wersji GSC na obecną.