Google ha rilasciato
una nuova funzionalità di Google Drive. E lo ha annunciato tramite un
post sul blog di Google Developers.
La novità consiste in un bottone inseribile in ogni pagina web, tramite il quale
avviare lo scaricamento di una risorsa direttamente verso il proprio spazio su Google Drive. La risorsa potrebbe essere un pdf, una immagine, un eseguibile. Qualsiasi cosa vogliate far scaricare all'utente. Dando la possibilità di caricarlo direttamente sul proprio account di Google Drive, cosa che trovo molto utile soprattutto per gli utenti che navigano da mobile. Far scaricare il file direttamente sul proprio account, senza usare la banda del proprio smartphone. Per poi usarlo in tutta comodità una volta davanti al computer.
Facciamo un esempio facilissimo.
Scarica il logo di Google Drive sul tuo account.
Se avete fatto la prova noterete, che al click si apre un popup, in cui si chiede la conferma dello scaricamento. E qui in effetti c'è l'unica cosa che non mi piace del nuovo pulsante.
Non è possibile scegliere in quale cartella caricare il file. Viene messo arbitrariamente nella root. Probabilmente un peccato di gioventù. Mi auguro che successivamente venga data questa possibilità.
L'implementazione del pulsante è velocissima, ci sono diverse opzioni, ma la maniera più veloce è la seguente
<script src="https://apis.google.com/js/plusone.js"></script>
<div class="g-savetodrive"
data-src="//example.com/path/to/myfile.pdf"
data-filename="My Statement.pdf"
data-sitename="My Company Name">
</div>
Senza voler andare a replicare la
documentazione ufficiale, vorrei solo far notare alcune cose. Notate nulla di familiare?
Lo script che viene richiamato è lo stesso del +1. Il che significa che se avete già il +1 in pagina non serve riscrivere altre volte il tag script. Nell'esempio che vedete sotto all'immagine, ho fatto così.
Questo può essere un aiuto per quei cms che non permettono nell'editor di inserire del javascript. Se avete già il +1 in pagina vi basterà, nell'editor inserire il div nel formato specificato nell'esempio. In pratica sono richieste tre informazioni: la url del file da scaricare, il nome del file quando verrà caricato su Drive, ed il nome del vostro sito, che apparirà sul popup di conferma.
Una cosa importante è che la url della risorsa deve essere all'interno del vostro dominio. Quindi è impossibile
rubare la banda di altri siti.
Da una discussione nata su
Google+ è nata la curiosità di
verificare se fosse possibile far scaricare la pagina stessa. Immaginiamo che io voglia far scaricare all'utente la pagina di questo post per una lettura più comoda successiva. Per scoprirlo ho creato una piccola
pagina di prova, in cui ho inserito come url del file da scaricare la pagina stessa. La risposta è nì. Il pulsante funziona benissimo ed in pochi secondi, ho trovato la pagina su Drive.
Il mio ni è dovuto al fatto che la pagina htm su drive (web) viene vista nel viewer come sorgente, quindi per cui sia intellegibile, occorre scaricarla. Poi se ci fossero risorse dentro, come le immagini o i css, ovviamente non vengono scaricate.
La cosa migliore sarebbe che la url di download sia un file pdf che possa includere quindi tutto il contenuto del post. Escludendo quindi, header, footer e tutto quello non propriamente correllato.
Mentre leggevo la notizia la prima cosa che mi è venuta in mente e se qualcuno avrebbe potuto forzare il click e caricare, all'insaputa dell'utente, file sul suo Google Drive. Ma questo problema in effetti non c'è in quanto viene aperto un popup indipendente in cui viene richiesta conferma.
Allora ho provato a farmi una domanda più complessa. Mettiamo caso che il firewall aziendale blocchi certi tipi di file, o gli amministratori abbiano impostato delle regole sui browser per impedire certi tipi di risorse, con questo pulsante ed il client di drive,
avremmo un secondo canale per far entrare file non autorizzati nella rete aziendale. Per capire se questo sia un problema reale o meno, ho provato ad interpellare un esperto di sicurezza,
Valentino Gagliardi (
http://servermanaged.it), che mi ha dato questa risposta:
Hai sollevato un ottimo quesito Maurizio e teoricamente questa nuova funzione di Drive potrebbe rappresentare un rischio in più per workstation e reti aziendali.
Mettiamo caso che io voglia penetrare su una workstation di $company. Mi procuro un trojan camuffato da documento Word e cerco di farlo scaricare alla vittima che lo passa direttamente su Drive. Poi magari questo Doc lo metti anche in condivisione con altra gente e la frittata è fatta. Non contare sugli antivirus: il malware piu sofisticato può bypassarli. Resta una sola speranza, ovvero capire se Google faccia una scansione on the fly dei file caricati.
Ho visto che sopra parlavi di Pdf e questi sono i file piu pericolosi dal punto di vista della sicurezza perché al loro interno puoi nascondere tutti gli exploit che vuoi.
Ringrazio Valentino per la sua risposta.
In conclusione, trovo questo nuovo plugin, malgrado il difettino che ho evidenziato prima, una novità molto interessante. Lo prenderò in considerazione per i miei futuri progetti.
PS: Per chi volesse inserirlo su Wordpress,
Andrea Pernici ha realizzato a tempo di record un
plugin.